JP2008294552A - Secret key controller, secret key control system, and secret key control program - Google Patents

Secret key controller, secret key control system, and secret key control program Download PDF

Info

Publication number
JP2008294552A
JP2008294552A JP2007135572A JP2007135572A JP2008294552A JP 2008294552 A JP2008294552 A JP 2008294552A JP 2007135572 A JP2007135572 A JP 2007135572A JP 2007135572 A JP2007135572 A JP 2007135572A JP 2008294552 A JP2008294552 A JP 2008294552A
Authority
JP
Japan
Prior art keywords
certificate
key
electronic certificate
unit
secret key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007135572A
Other languages
Japanese (ja)
Inventor
Tetsuya Tanaka
徹也 田中
Masahito Kurosaki
雅人 黒崎
Mitsuru Sato
充 佐藤
Hiroko Shiraishi
紘子 白石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2007135572A priority Critical patent/JP2008294552A/en
Publication of JP2008294552A publication Critical patent/JP2008294552A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a secret key controller, a secret key control system and a secret key control program, for controlling the utilization of a secret key according to the verified result of an electronic certificate uniquely corresponding to the secret key. <P>SOLUTION: The electronic certificate sent from an authentication station is received in a cipher data deciphering part 44, whether or not it is issued by a predetermined authentication station is confirmed in a certificate confirmation part 45, the electronic certificate is preserved in an electronic certificate preservation part 47, and the secret key corresponding to the electronic certificate is preserved in a key preservation part 46. A processing request to use the secret key is received in a cipher processing part 48, a certificate verification part 49 verifies the electronic certificate preserved in the electronic certificate preservation part 47, and the use of the secret key preserved in the key preservation part 46 is permitted for the received processing request. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、秘密鍵制御装置、秘密鍵制御システムおよび秘密鍵制御プログラムに関する。   The present invention relates to a secret key control device, a secret key control system, and a secret key control program.

近年、電子文書のセキュリティを維持すべく、様々な対策が講じられている。   In recent years, various measures have been taken to maintain the security of electronic documents.

セキュリティ対策の一つとして、一般に公開される公開鍵と、公開しない秘密鍵とを利用する技術が存在する。 公開鍵と秘密鍵を利用した技術では、文書の通信間における暗号化や電子メールの署名などが行われる。   As one of security measures, there is a technology that uses a public key that is publicly disclosed and a secret key that is not disclosed. In the technology using a public key and a private key, encryption between documents and electronic mail signatures are performed.

暗号化に関しては、通信相手の公開鍵で文書を暗号化してデータを送信し、データを受信した方は自らの秘密鍵でデータを復号して文書を閲覧する。 これにより、秘密鍵を持っている受信側でないと送信された文書を閲覧することはできなくなる。   Regarding encryption, the document is encrypted with the communication partner's public key and the data is transmitted, and the person who receives the data decrypts the data with his / her private key and browses the document. As a result, the transmitted document cannot be browsed unless the receiving side has a secret key.

また、電子メールの署名に関しては、電子メールのハッシュ値を送信者の秘密鍵で暗号化した署名を電子メールに付加して通信相手に送信し、受信した相手は、電子メールに付加されたデータを送信者の公開鍵で復号した値と電子メールが得られるハッシュ値とを比べることで、送信者の正当性確認と電子メールが改ざんされていないことの確認が可能となる。   For email signatures, a signature obtained by encrypting the hash value of the email with the sender's private key is added to the email and sent to the communication partner, and the recipient receives the data attached to the email. By comparing the value decrypted with the sender's public key with the hash value from which the e-mail can be obtained, it is possible to confirm the sender's validity and confirm that the e-mail has not been tampered with.

そして、特許文献1には、公開鍵によって暗号化された電子文書の復号において、暗号化に使用された公開鍵の電子証明書を検証し、検証結果によって、復号の使用可否判断を行う情報復号方法および装置並びにプログラム、暗号化情報作成方法および装置並びにプログラム、暗号化情報、文書編集方法および装置並びにプログラムが提案されている。   Patent Document 1 discloses an information decryption that verifies an electronic certificate of a public key used for encryption in decryption of an electronic document encrypted with a public key, and determines whether to use decryption based on the verification result. There have been proposed a method and apparatus and a program, an encryption information creating method and apparatus, a program, encrypted information, a document editing method and apparatus, and a program.

また、特許文献2には、複合機の電子メール送信部において、暗号化あるいは署名に使用される電子証明書を検証し、検証結果によって、暗号化あるいは署名の可否判断を行う情報処理装置、データ送信方法、プログラムが提案されている。
特願2005−109661号公報 特願2006−074637号公報 Patent Document 2 discloses an information processing apparatus and data for verifying an electronic certificate used for encryption or signature in an electronic mail transmission unit of a multi-function peripheral, and determining whether encryption or signature is possible based on the verification result. Transmission methods and programs have been proposed.
Japanese Patent Application No. 2005-109661 Japanese Patent Application No. 2006-074637

先に示した特許文献1の発明では、秘密鍵が第三者に漏洩したといった場合や、企業において退職社員が秘密鍵の返却を怠った場合などに、それら秘密鍵を使った不正な文書閲覧を禁止することが可能となる。 しかし、この特許文献1の発明においては、秘密鍵を使用した署名、認証に関する対策には触れられておらず、漏洩した秘密鍵や退職時に返却されなかった秘密鍵を利用した署名や認証についての制御はできない。   In the invention of Patent Document 1 described above, when a secret key is leaked to a third party, or when a retired employee fails to return the secret key in a company, illegal document browsing using the secret key is performed. Can be prohibited. However, in the invention of this Patent Document 1, no measures regarding signature and authentication using a secret key are mentioned, and a signature or authentication using a leaked secret key or a secret key that was not returned at the time of retirement It cannot be controlled.

また、特許文献2の発明では、電子証明書を失効させることで、電子メールの暗号化や署名を制御することが可能となる。 しかし、この特許文献2の発明においては、秘密鍵と電子証明書との対応については触れられておらず、別の認証局を利用して作成した偽の電子証明書を対応させることによって電子証明書の検証に成功させ、不正に署名メールを作成することを防ぐことはできない。   Further, in the invention of Patent Document 2, it is possible to control the encryption and signature of electronic mail by revoking the electronic certificate. However, in the invention of Patent Document 2, the correspondence between the private key and the electronic certificate is not mentioned, and the electronic certificate is obtained by associating a fake electronic certificate created using another certificate authority. It is impossible to prevent successful verification of the certificate and illegally create a signature mail.

これらの課題を解決する為には、秘密鍵そのものに対して一意に割り当てられた電子証明書を検証するようにして、その結果により、暗号/復号/署名/認証などの秘密鍵を必要とする処理を制御する方式が考えられる。 この方式では、秘密鍵に対して電子証明書を一意に決定する必要がある。   In order to solve these problems, a digital key uniquely assigned to the private key itself is verified, and the result requires a private key such as encryption / decryption / signature / authentication. A method for controlling the processing can be considered. In this method, it is necessary to uniquely determine an electronic certificate for a private key.

そこで、この発明は、秘密鍵に一意に対応する電子証明書の検証結果に従って秘密鍵の利用を制御する秘密鍵制御装置、秘密鍵制御システムおよび秘密鍵制御プログラムを提供することを目的とする。   Accordingly, an object of the present invention is to provide a secret key control device, a secret key control system, and a secret key control program that control the use of a secret key in accordance with a verification result of an electronic certificate that uniquely corresponds to the secret key.

上記目的を達成するために、請求項1の発明の秘密鍵制御装置は、電子証明書を認証局より受信する受信手段と、前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段とを備えるように構成される。   In order to achieve the above object, a secret key control apparatus according to claim 1 of the present invention includes a receiving unit that receives an electronic certificate from a certificate authority, and a certificate authority that receives the electronic certificate received by the receiving unit. Confirmation means for confirming whether it has been issued, electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means, and public key of the electronic certificate stored in the electronic certificate storage means A key storage unit that stores a private key corresponding to the above, a reception unit that receives a predetermined processing request that uses the private key, a verification unit that verifies the validity of the electronic certificate stored in the electronic certificate storage unit, When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. Permission to do Configured with and.

また、請求項2の発明は、請求項1の発明において、前記認証局が保存する共有鍵と同じ共有鍵を保存する共有鍵保存手段を更に備え、前記受信手段は、暗号化された電子証明書を含むデータを受信し、前記確認手段は、前記受信手段で受信したデータが前記共有鍵によって復号できるかにより、当該電子証明書の認証局の確認を行うように構成される。   The invention of claim 2 further comprises shared key storage means for storing the same shared key as the shared key stored by the certificate authority in the invention of claim 1, wherein the reception means is an encrypted electronic certificate. The confirmation means is configured to confirm the certificate authority of the electronic certificate according to whether the data received by the reception means can be decrypted by the shared key.

また、請求項3の発明は、請求項1の発明において、前記認証局と同じ共有鍵を保存する共有鍵保存手段を更に備え、前記受信手段は、電子署名が付加された電子証明書を含むデータを受信し、前記確認手段は、前記受信手段で受信した電子署名の前記共有鍵による検証結果により、前記電子証明書の認証局の確認を行うように構成される。   The invention of claim 3 further comprises a shared key storage means for storing the same shared key as the certificate authority in the invention of claim 1, wherein the receiving means includes an electronic certificate to which an electronic signature is added. The data is received, and the confirmation unit is configured to confirm the certificate authority of the electronic certificate based on the verification result of the electronic signature received by the reception unit using the shared key.

また、請求項4の発明は、請求項1の発明において、前記認証局の証明書を保存する証明書保存手段を更に備え、前記確認手段は、前記受信手段で受信した電子証明書に記載される発行元の認証局と、前記証明書保存手段で保存される証明書の認証局とが同じであるかにより、前記電子証明書の認証局の確認を行うように構成される。   The invention of claim 4 further comprises certificate storage means for storing the certificate of the certificate authority in the invention of claim 1, wherein the confirmation means is described in the electronic certificate received by the reception means. The certificate authority of the electronic certificate is checked according to whether or not the certificate authority of the issuer and the certificate authority of the certificate stored by the certificate storage unit are the same.

また、請求項5の発明は、請求項1乃至4に記載のいずれかの発明において、前記鍵保存手段は、前記認証局から送信された秘密鍵を受信して保存するように構成される。   According to a fifth aspect of the present invention, in any one of the first to fourth aspects, the key storage unit is configured to receive and store a secret key transmitted from the certificate authority.

また、請求項6の発明は、請求項5の発明において、データの暗号化に使用される暗号鍵を生成する生成手段と、前記生成手段で生成した暗号鍵を前記認証局に送信する暗号鍵送信手段とを更に備え、前記鍵保存手段は、前記認証局から前記暗号鍵送信手段で送信した暗号鍵で暗号化された暗号データを受信し、前記生成手段で生成した暗号鍵で当該暗号データを復号することにより秘密鍵を得、当該秘密鍵を保存するように構成される。   According to a sixth aspect of the present invention, in the fifth aspect of the present invention, a generation means for generating an encryption key used for data encryption, and an encryption key for transmitting the encryption key generated by the generation means to the certificate authority Transmitting means, wherein the key storage means receives encrypted data encrypted with the encryption key transmitted by the encryption key transmitting means from the certificate authority, and the encrypted data with the encryption key generated by the generating means The private key is obtained by decrypting and the private key is stored.

また、請求項7の発明は、請求項1乃至4に記載のいずれかの発明において、秘密鍵と当該秘密鍵に対応する公開鍵とを生成する生成手段と、前記生成手段で生成した公開鍵を前記認証局に送信する公開鍵送信手段とを更に備え、前記受信手段は、前記公開鍵送信手段で送信された公開鍵を含む電子証明書を前記認証局から受信し、前記鍵保存手段は、前記生成手段で生成された秘密鍵を保存するように構成される。   According to a seventh aspect of the present invention, in any one of the first to fourth aspects of the present invention, a generating unit that generates a secret key and a public key corresponding to the secret key, and a public key generated by the generating unit Public key transmitting means for transmitting to the certification authority, the receiving means receives an electronic certificate including the public key transmitted by the public key transmitting means from the certification authority, and the key storage means The secret key generated by the generating means is stored.

また、請求項8の発明の秘密鍵制御システムは、電子証明書を発行する認証局と、前記電子証明書を受信する秘密鍵制御装置とを具備し、前記秘密鍵制御装置は、電子証明書を認証局より受信する受信手段と、前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段とを備えるように構成される。   The private key control system of the invention of claim 8 comprises a certificate authority that issues an electronic certificate and a private key control device that receives the electronic certificate, wherein the private key control device is an electronic certificate. Receiving means from the certificate authority, confirmation means for confirming whether the electronic certificate received by the receiver means is issued by a predetermined certificate authority, and the electronic certificate confirmed by the confirmation means Electronic certificate storage means for storing a certificate, key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means, and a predetermined processing request using the private key Accepting means, validating means for verifying the validity of the electronic certificate stored in the electronic certificate storing means, and accepting by the accepting means when the electronic certificate is valid by the verifying means The secret key For a given process requests that use, configured with a permitting means for permitting use of the secret key stored in the key storing means.

また、請求項9の発明の秘密鍵制御プログラムは、コンピュータを電子証明書を認証局より受信する受信手段と、前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段として機能させるように構成される。   According to a ninth aspect of the present invention, there is provided a secret key control program in which a computer receives an electronic certificate from a certificate authority, and an electronic certificate received by the receiver is issued by a predetermined certificate authority. A confirmation means for confirming whether the electronic certificate is confirmed, an electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means, and a secret corresponding to the public key of the electronic certificate stored by the electronic certificate storage means Key storage means for storing a key, reception means for receiving a predetermined processing request using the private key, verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means, and the verification means When the electronic certificate is valid, the permitting person who permits the use of the private key stored in the key storage unit in response to the predetermined processing request using the private key received by the reception unit. Configured to function as a.

請求項1または請求項8または請求項9の発明によれば、秘密鍵の使用に際して、秘密鍵と対応する電子証明書の有効性を検証して初めて使用することができるようにすることができるという効果を奏する。   According to the invention of claim 1, claim 8 or claim 9, when the private key is used, it can be used only after verifying the validity of the electronic certificate corresponding to the private key. There is an effect.

また、請求項2の発明によれば、共有鍵でデータを復号することにより、電子証明書を送信した認証局を確認することができるという効果を奏する。   In addition, according to the invention of claim 2, there is an effect that the certificate authority that has transmitted the electronic certificate can be confirmed by decrypting the data with the shared key.

また、請求項3の発明によれば、共有鍵で署名を検証することにより、電子証明書を送信した認証局を確認することができるという効果を奏する。   According to the third aspect of the present invention, it is possible to confirm the certificate authority that transmitted the electronic certificate by verifying the signature with the shared key.

また、請求項4の発明によれば、保存された証明書によって、電子証明書を送信した認証局を確認することができるという効果を奏する。   According to the invention of claim 4, the certificate authority that transmitted the electronic certificate can be confirmed by the stored certificate.

また、請求項5の発明によれば、電子証明書の有効性の検証後に使用を許可する秘密鍵を認証局から送信されるようにすることができるという効果を奏する。   In addition, according to the invention of claim 5, there is an effect that it is possible to transmit from the certificate authority a secret key that is allowed to be used after verifying the validity of the electronic certificate.

また、請求項6の発明によれば、認証局から送信される秘密鍵を暗号化された状態で受信することができるという効果を奏する。   Further, according to the invention of claim 6, there is an effect that the secret key transmitted from the certificate authority can be received in an encrypted state.

また、請求項7の発明によれば、秘密鍵制御装置で生成した秘密鍵とペアの公開鍵に対応する電子証明書により、その秘密鍵の使用を制御することができるという効果を奏する。   Further, according to the invention of claim 7, there is an effect that the use of the secret key can be controlled by the electronic certificate corresponding to the public key paired with the secret key generated by the secret key control device.

以下、本発明に係わる秘密鍵制御システムの実施例について添付図面を参照して詳細に説明する。   Embodiments of a secret key control system according to the present invention will be described below in detail with reference to the accompanying drawings.

まず、本発明に係わる秘密鍵制御システム100の構成の概略について図1を参照して説明する。   First, an outline of the configuration of the secret key control system 100 according to the present invention will be described with reference to FIG.

図1は、秘密鍵制御システム100の構成について示した概略図である。   FIG. 1 is a schematic diagram showing the configuration of the secret key control system 100.

図1(a)は、本発明に係わる秘密鍵制御システム100の構成の概略を示した図であり、秘密鍵制御システム100は、事業所1に配置されるパーソナルコンピュータ(以下、PCと略す)4/6(実施例1、実施例2ではPC4が使用され、実施例3、実施例4ではPC6が使用される)と認証局2に配置されるPC5/7(実施例1、実施例2ではPC5が使用され、実施例3、実施例4ではPC7が使用される)とが通信回線3により接続されて構成される。   FIG. 1 (a) is a diagram showing an outline of the configuration of a secret key control system 100 according to the present invention. The secret key control system 100 is a personal computer (hereinafter abbreviated as a PC) arranged in the office 1. 4/6 (PC4 is used in the first and second embodiments, and PC6 is used in the third and fourth embodiments) and PC5 / 7 (first and second embodiments) arranged in the certificate authority 2 PC 5 is used in this embodiment, and PC 7 is used in the third and fourth embodiments).

認証局2とは、事業所1内のPC4/6で使用される秘密鍵に対応する公開鍵を証明する電子証明書の発行、管理を行う機関である。   The certificate authority 2 is an organization that issues and manages an electronic certificate that certifies a public key corresponding to a private key used in the PC 4/6 in the office 1.

認証局2は、CA(Certificate Authority)であり、パブリックCA(不特定多数の広い範囲で電子証明書の保証を行う)でもプライベートCA(企業内などの閉じた範囲で電子証明書の保証を行う)でもよい。   The certificate authority 2 is a CA (Certificate Authority), and even a public CA (guaranteed an electronic certificate in a wide range of unspecified numbers) or a private CA (guaranteed an electronic certificate in a closed range such as in a company) )

図1(b)について説明すると、事業所1内で使用されるPC4内に秘密鍵制御モジュール40が備えられ、そして、認証局2内で使用されるPC5内には認証局モジュール50が備えられる例については、実施例1で説明を行う。   Referring to FIG. 1B, a secret key control module 40 is provided in the PC 4 used in the office 1, and a certificate authority module 50 is provided in the PC 5 used in the certificate authority 2. An example will be described in Example 1.

また、図1(b)について、事業所内で使用されるPC4内に秘密鍵制御モジュール60が備えられ、そして、認証局2内で使用されるPC5内には認証局モジュール70が備えられる例については、実施例2で説明を行う。   1B, an example in which the secret key control module 60 is provided in the PC 4 used in the office, and the certificate authority module 70 is provided in the PC 5 used in the certificate authority 2. Will be described in the second embodiment.

また、図1(c)について説明すると、事業所1内で使用されるPC6内に秘密鍵制御モジュール90が備えられ、そして、認証局2内で使用されるPC7内には認証局モジュール110が備えられる例については、実施例3で説明を行う。   1C, the secret key control module 90 is provided in the PC 6 used in the office 1, and the certificate authority module 110 is provided in the PC 7 used in the certificate authority 2. An example provided will be described in a third embodiment.

また、図1(c)について、事業所内で使用されるPC6内に秘密鍵制御モジュール120が備えられ、そして、認証局2内で使用されるPC7内には認証局モジュール140が備えられる例については、実施例4で説明を行う。   1C, a secret key control module 120 is provided in the PC 6 used in the office, and a certificate authority module 140 is provided in the PC 7 used in the certificate authority 2. Will be described in Example 4.

まず、実施例1で説明される事業所1内のPC4は、図1(b)に示すように、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール40を備える。 そして、実施例1で説明される認証局2内のPC5は、図1(b)に示すように、認証局モジュール50を備える。   First, as shown in FIG. 1B, the PC 4 in the office 1 described in the first embodiment includes a certificate authority certificate registration unit 10, an electronic certificate registration unit 20, a data processing unit 30, a secret key control. A module 40 is provided. The PC 5 in the certificate authority 2 described in the first embodiment includes a certificate authority module 50 as shown in FIG.

PC4内の認証局証明書登録部10には、認証局2の認証局証明書が記憶される。 認証局証明書登録部10に記憶される認証局2の認証局証明書は、PC4が製品として工場から出荷される時点で既に記憶されている。 しかし、PC4の工場出荷時点では認証局証明書登録部10には認証局2の認証局証明書は記憶されておらず、後でユーザが認証局証明書登録部10に認証局2の認証局証明書を記憶させるようにしてもよい。   The certificate authority certificate registration unit 10 in the PC 4 stores the certificate authority certificate of the certificate authority 2. The certificate authority certificate of the certificate authority 2 stored in the certificate authority certificate registration unit 10 is already stored when the PC 4 is shipped from the factory as a product. However, when the PC 4 is shipped from the factory, the certificate authority certificate registration unit 10 does not store the certificate authority certificate of the certificate authority 2, and the user later stores the certificate authority certificate registration unit 10 in the certificate authority certificate registration unit 10. You may make it memorize | store a certificate.

電子証明書登録部20は、PC4のキーボードなどから入力されるユーザからの電子証明書登録要求を受け付ける。   The electronic certificate registration unit 20 receives an electronic certificate registration request from a user input from the keyboard of the PC 4 or the like.

データ処理部30は、各種データの処理を行い、データの処理において秘密鍵が必要である場合には秘密鍵制御モジュール40にそのデータを送って秘密鍵による処理を要求する。 秘密鍵が必要な処理とは、暗号/復号/署名/認証などの処理である。 データ処理部30から秘密鍵制御モジュール40に送られるデータは、暗合化されるデータや、復号が必要な暗号データや、署名の元となるハッシュ値や、認証に必要なデータなどである。 秘密鍵制御モジュール40では、これらのデータが送られて、電子証明書の有効性の確認が行われた後に、秘密鍵を使用したデータの処理(暗号/復号/署名/認証)が行われる。   The data processing unit 30 processes various data, and when a secret key is necessary for data processing, the data processing unit 30 sends the data to the secret key control module 40 and requests a process using the secret key. The process that requires a secret key is a process such as encryption / decryption / signature / authentication. The data sent from the data processing unit 30 to the secret key control module 40 includes data to be encrypted, encrypted data that needs to be decrypted, a hash value that is a signature source, data that is necessary for authentication, and the like. In the secret key control module 40, after these data are sent and the validity of the electronic certificate is confirmed, data processing (encryption / decryption / signature / authentication) using the secret key is performed.

秘密鍵制御モジュール40は、秘密鍵とその秘密鍵に対応する電子証明書を登録し、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理を行う。   The private key control module 40 registers a private key and an electronic certificate corresponding to the private key, receives a request for data encryption / decryption / signature / authentication from the data processing unit 30, and obtains the private key. Any one of encryption / decryption / signature / authentication used is performed.

秘密鍵制御モジュール40には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。   Only one secret key is registered in the secret key control module 40, and the registered electronic certificate is unique to the corresponding secret key.

認証局モジュール50は、PC4の秘密鍵制御モジュール40から暗号キーが送られると、秘密鍵とその秘密鍵に対応する電子証明書を生成して、秘密鍵制御モジュール40から送られた暗号キーで、生成した秘密鍵とその秘密鍵に対応する電子証明書を暗号化して秘密鍵制御モジュール40に送信する。   When the encryption key is sent from the private key control module 40 of the PC 4, the certificate authority module 50 generates a private key and an electronic certificate corresponding to the private key, and uses the encryption key sent from the private key control module 40. Then, the generated secret key and the electronic certificate corresponding to the secret key are encrypted and transmitted to the secret key control module 40.

次に、実施例2で説明される事業所1内のPC4は、図1(b)に示すように、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール60を備える。 そして、実施例2で説明される認証局2内のPC5は、図1(b)に示すように、認証局モジュール70を備える。   Next, as shown in FIG. 1B, the PC 4 in the office 1 described in the second embodiment includes a certificate authority certificate registration unit 10, an electronic certificate registration unit 20, a data processing unit 30, a private key. A control module 60 is provided. The PC 5 in the certificate authority 2 described in the second embodiment includes a certificate authority module 70 as shown in FIG.

実施例2で説明されるPC4内の認証局証明書登録部10、電子証明書登録部20、データ処理部30は、実施例1で説明されるPC4内のそれぞれと同じである。   The CA certificate registration unit 10, the electronic certificate registration unit 20, and the data processing unit 30 in the PC 4 described in the second embodiment are the same as those in the PC 4 described in the first embodiment.

秘密鍵制御モジュール60は、公開鍵と秘密鍵のペアを生成し、そして、秘密鍵とその秘密鍵に対応する電子証明書とを登録する。 そして、秘密鍵制御モジュール60は、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その暗号/復号/署名/認証のいずれかの処理を登録した秘密鍵を使用して行う。 秘密鍵制御モジュール60には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。   The private key control module 60 generates a public key and private key pair, and registers the private key and the electronic certificate corresponding to the private key. Then, the secret key control module 60 receives a request for data encryption / decryption / signature / authentication from the data processing unit 30, and registers a secret key for registering the process for encryption / decryption / signature / authentication. To do. Only one private key is registered in the private key control module 60, and the registered electronic certificate is unique to the corresponding private key.

認証局モジュール70は、PC4の秘密鍵制御モジュール60から公開鍵が送られると、その公開鍵の電子証明書を生成して秘密鍵制御モジュール60に送信する。   When the public key is sent from the private key control module 60 of the PC 4, the certificate authority module 70 generates an electronic certificate for the public key and transmits it to the private key control module 60.

次に、実施例3で説明される事業所1内のPC6は、図1(c)に示すように、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール90を備える。 そして、実施例3で説明される認証局2内のPC7は、図1(c)に示すように、認証局モジュール110を備える。   Next, as shown in FIG. 1C, the PC 6 in the business office 1 described in the third embodiment includes a shared secret registration unit 80, an electronic certificate registration unit 20, a data processing unit 30, and a secret key control module 90. Is provided. The PC 7 in the certificate authority 2 described in the third embodiment includes a certificate authority module 110 as shown in FIG.

実施例3で説明されるPC6内の電子証明書登録部20、データ処理部30は、実施例1で説明されるPC4内のそれぞれと同じである。   The electronic certificate registration unit 20 and the data processing unit 30 in the PC 6 described in the third embodiment are the same as those in the PC 4 described in the first embodiment.

SharedSecret登録部80は、認証局2内のPC7の認証局モジュール140に記憶されるSharedSecretと同じSharedSecretを記憶する。 SharedSecretは、データを暗復号できる共通鍵の一種である。   The SharedSecret registration unit 80 stores the same SharedSecret as the SharedSecret stored in the certificate authority module 140 of the PC 7 in the certificate authority 2. SharedSecret is a kind of common key that can encrypt and decrypt data.

秘密鍵制御モジュール90は、秘密鍵とその秘密鍵に対応する電子証明書を登録し、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理を行う。 秘密鍵制御モジュール90には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。   The private key control module 90 registers a private key and an electronic certificate corresponding to the private key, receives a request for data encryption / decryption / signature / authentication from the data processing unit 30, and obtains the private key. Any one of encryption / decryption / signature / authentication used is performed. Only one private key is registered in the private key control module 90, and the registered electronic certificate is unique to the corresponding private key.

認証局モジュール110は、PC7の秘密鍵制御モジュール90から暗号キーが送られると、秘密鍵とその秘密鍵に対応する電子証明書を生成して暗号キーで暗号化し、暗号化したデータにSharedSecretによる署名を付加して秘密鍵制御モジュール90に送信する。   When the encryption key is sent from the secret key control module 90 of the PC 7, the certificate authority module 110 generates a secret key and an electronic certificate corresponding to the secret key, encrypts it with the encryption key, and uses the SharedSecret The signature is added and transmitted to the secret key control module 90.

次に、実施例4で説明される事業所1内のPC6は、図1(c)に示すように、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密制御モジュール120を備える。 そして、実施例4で説明される認証局2内のPC7は、図1(c)に示すように、認証局モジュール140を備える。   Next, as shown in FIG. 1C, the PC 6 in the office 1 described in the fourth embodiment includes a Shared Secret registration unit 80, an electronic certificate registration unit 20, a data processing unit 30, and a secret control module 120. Prepare. The PC 7 in the certificate authority 2 described in the fourth embodiment includes a certificate authority module 140 as shown in FIG.

実施例4で説明されるPC6内の電子証明書登録部20、データ処理部30は、実施例1で説明されるPC4内のそれぞれと同じである。   The electronic certificate registration unit 20 and the data processing unit 30 in the PC 6 described in the fourth embodiment are the same as those in the PC 4 described in the first embodiment.

秘密鍵制御モジュール120は、公開鍵と秘密鍵のペアを生成し、そして、秘密鍵とその秘密鍵に対応する電子証明書とを登録する。 そして、秘密鍵制御モジュール120は、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理を行う。 秘密鍵制御モジュール120には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。   The private key control module 120 generates a public key and private key pair, and registers the private key and an electronic certificate corresponding to the private key. Then, the secret key control module 120 receives any request for data encryption / decryption / signature / authentication from the data processing unit 30, and performs any process of encryption / decryption / signature / authentication using the secret key. I do. Only one private key is registered in the private key control module 120, and the registered electronic certificate is unique to the corresponding private key.

認証局モジュール140は、PC6の秘密鍵制御モジュール120から公開鍵が送られると、その公開鍵の電子証明書を生成して、SharedSecretによる署名を付加して秘密鍵制御モジュール120に送信する。   When the public key is sent from the private key control module 120 of the PC 6, the certificate authority module 140 generates an electronic certificate of the public key, adds a signature by SharedSecret, and transmits it to the private key control module 120.

このように、秘密鍵制御システム100は、事業所1のPC4/6と認証局2のPC5/7とが通信回線3によって接続された状態である。 そして、秘密鍵制御システム100を説明する実施例は、事業所1、認証局2内に備えられるPCの違いにより実施例を変えて説明する。 具体的には、実施例1では、認証局証明書登録部10、秘密鍵制御モジュール40を備えるPC4と認証局モジュール50を備えるPC5とで構成される秘密鍵制御システム100について説明し、実施例2では、認証局証明書登録部10、秘密鍵制御モジュール60を備えるPC4と認証局モジュール70を備えるPC5とで構成される秘密鍵制御システム100について説明し、実施例3では、SharedSecret登録部80、秘密鍵制御モジュール90を備えるPC6と認証局モジュール110を備えるPC7とで構成される秘密鍵制御システム100について説明し、実施例4では、SharedSecret登録部80、秘密鍵制御モジュール120を備えるPC6と認証局モジュール140を備えるPC7とで構成される秘密鍵制御システム100について説明する。   Thus, the secret key control system 100 is in a state in which the PC 4/6 of the business office 1 and the PC 5/7 of the certificate authority 2 are connected by the communication line 3. The embodiment for explaining the secret key control system 100 will be described by changing the embodiment according to the difference of the PCs provided in the office 1 and the certificate authority 2. Specifically, in the first embodiment, a secret key control system 100 including a certificate authority certificate registration unit 10, a PC 4 provided with a secret key control module 40, and a PC 5 provided with a certificate authority module 50 will be described. 2, the secret key control system 100 including the certificate authority certificate registration unit 10 and the PC 4 including the secret key control module 60 and the PC 5 including the certificate authority module 70 will be described. In the third embodiment, the shared secret registration unit 80 is described. A secret key control system 100 composed of a PC 6 provided with a secret key control module 90 and a PC 7 provided with a certificate authority module 110 will be described. In the fourth embodiment, a shared secret registration unit 80 and a PC 6 provided with a secret key control module 120 About the private key control system 100 configured with the PC 7 having the certificate authority module 140 Akira to.

本実施例では、事業所1内で使用されるPC4内に認証局証明書登録部10、秘密鍵制御モジュール40などが備えられ、認証局2内で使用されるPC5内に認証局モジュール50が備えられる秘密鍵制御システム100について説明を行う(図1(b)を参照して説明した構成)。   In this embodiment, the certificate authority certificate registration unit 10 and the secret key control module 40 are provided in the PC 4 used in the office 1, and the certificate authority module 50 is provided in the PC 5 used in the certificate authority 2. The secret key control system 100 provided will be described (configuration described with reference to FIG. 1B).

まず、秘密鍵制御モジュール40と認証局モジュール50などの構成について図2を参照して説明を行う。   First, the configuration of the secret key control module 40 and the certificate authority module 50 will be described with reference to FIG.

図2は、秘密鍵制御モジュール40と認証局モジュール50などの構成について示したブロック図である。   FIG. 2 is a block diagram showing the configuration of the secret key control module 40, the certificate authority module 50, and the like.

事業所1内のPC4内には、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール40が備えられ、認証局2内のPC5内には、認証局モジュール50が備えられる。   The PC 4 in the business office 1 includes a certificate authority certificate registration unit 10, an electronic certificate registration unit 20, a data processing unit 30, and a secret key control module 40. A station module 50 is provided.

秘密鍵制御モジュール40は、認証局証明書保存部41、暗号キー生成部42、暗号キー保存部43、暗号データ復号部44、証明書確認部45、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49を備える。   The private key control module 40 includes a certificate authority certificate storage unit 41, an encryption key generation unit 42, an encryption key storage unit 43, an encrypted data decryption unit 44, a certificate confirmation unit 45, a key storage unit 46, and an electronic certificate storage unit 47. A cryptographic processing unit 48 and a certificate verification unit 49.

認証局モジュール50は、暗号データ生成部51、証明書生成部52、鍵生成部53を備える。   The certificate authority module 50 includes an encrypted data generation unit 51, a certificate generation unit 52, and a key generation unit 53.

認証局証明書保存部41は、認証局証明書登録部10より受け付けた認証局証明書を記憶保存することにより、認証局証明書の登録を行う。 そして、認証局証明書保存部41は、1つの認証局証明書しか登録しない。   The certificate authority certificate storage unit 41 registers the certificate authority certificate by storing and storing the certificate authority certificate received from the certificate authority certificate registration unit 10. The certificate authority certificate storage unit 41 registers only one certificate authority certificate.

暗号キー生成部42は、電子証明書登録部20よりユーザからの電子証明書登録要求を受け付け、認証局証明書保存部41に認証局証明書が登録されていることを確認し、認証局モジュール50に送信する暗号キーを生成する。 暗号キー生成部42は、生成した暗号キーを暗号キー保存部43に登録し、生成した暗号キーを認証局モジュール50に送信する。   The encryption key generation unit 42 receives an electronic certificate registration request from the user from the electronic certificate registration unit 20, confirms that the certificate authority certificate is registered in the certificate authority certificate storage unit 41, and performs the certificate authority module An encryption key to be transmitted to 50 is generated. The encryption key generation unit 42 registers the generated encryption key in the encryption key storage unit 43 and transmits the generated encryption key to the certificate authority module 50.

暗号キー保存部43は、暗号キー生成部42で生成された暗号キーを記憶保存することで、暗号キーの登録を行う。 暗号キー保存部43に登録される暗号キーは1つである。 そして、一旦、暗号キー保存部43に暗号キーが登録されると、暗号キー保存部43には常に1つだけの暗号キーが登録された状態となる。   The encryption key storage unit 43 registers the encryption key by storing and storing the encryption key generated by the encryption key generation unit 42. There is one encryption key registered in the encryption key storage unit 43. Once an encryption key is registered in the encryption key storage unit 43, only one encryption key is always registered in the encryption key storage unit 43.

暗号データ復号部44は、認証局モジュール50より受信した暗号データを、暗号キー保存部43に登録されている暗号キーで復号する。 暗号データ復号部44は、暗号キーによって復号した暗号データから、電子証明書と秘密鍵を入手すると、電子証明書を証明書確認部45に渡し、秘密鍵を鍵保存部46に渡す。   The encryption data decryption unit 44 decrypts the encryption data received from the certificate authority module 50 with the encryption key registered in the encryption key storage unit 43. When obtaining the electronic certificate and the private key from the encrypted data decrypted with the encryption key, the encrypted data decrypting unit 44 passes the electronic certificate to the certificate confirming unit 45 and passes the private key to the key storage unit 46.

証明書確認部45は、暗号データ復号部44より渡される電子証明書を受け取り、そして、その電子証明書が認証局証明書保存部41に登録されている認証局証明書より証明される認証局から発行されたものであることを確認する。 その後、証明書確認部45は、渡された電子証明書に含まれる公開鍵が、鍵保存部46に登録される秘密鍵に対応すること確認して、確認後、その電子証明書を電子証明書保存部47に登録する。   The certificate confirmation unit 45 receives the electronic certificate passed from the encrypted data decryption unit 44, and the certificate authority whose certificate is certified by the certificate authority certificate registered in the certificate authority certificate storage unit 41 Confirm that it was issued by. Thereafter, the certificate confirmation unit 45 confirms that the public key included in the delivered electronic certificate corresponds to the private key registered in the key storage unit 46, and after confirmation, the electronic certificate is electronically certified. Register in the document storage unit 47.

鍵保存部46は、暗号データ復号部44より秘密鍵を受け取り、その秘密鍵を記憶保存することで、秘密鍵の登録を行う。 鍵保存部46には、1つだけの秘密鍵が登録され、一旦、秘密鍵が登録されると、新たな秘密鍵の登録は行われず、鍵保存部46には常に1つだけの秘密鍵が登録された状態となる。 また、鍵保存部46は、証明書確認部45や暗号処理部48より秘密鍵を要求されると、登録する秘密鍵を要求を行った証明書確認部45や暗号処理部48に渡す。   The key storage unit 46 receives the secret key from the encrypted data decryption unit 44, stores the secret key, and registers the secret key. In the key storage unit 46, only one secret key is registered. Once the secret key is registered, no new secret key is registered, and only one secret key is always stored in the key storage unit 46. Is registered. Further, when the private key is requested by the certificate confirmation unit 45 or the encryption processing unit 48, the key storage unit 46 passes the secret key to be registered to the certificate confirmation unit 45 or the encryption processing unit 48 that has requested the registration.

電子証明書保存部47は、証明書確認部45より渡された電子証明書を記憶保存することで、電子証明書の登録を行う。   The electronic certificate storage unit 47 registers the electronic certificate by storing and storing the electronic certificate passed from the certificate confirmation unit 45.

暗号処理部48は、文書操作部30から秘密鍵が必要な暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部47から電子証明書を取得し、取得した電子証明書を証明書検証部49に渡して、電子証明書の有効性の確認を行わせる。 暗号処理部48は、電子証明書の有効性が確認されると、鍵保存部46に登録される秘密鍵を入手して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。   When the document operation unit 30 requests any one of encryption / decryption / signature / authentication processing that requires a private key, the encryption processing unit 48 acquires the electronic certificate from the electronic certificate storage unit 47 and acquires the electronic certificate. The electronic certificate is passed to the certificate verification unit 49, and the validity of the electronic certificate is confirmed. When the validity of the electronic certificate is confirmed, the encryption processing unit 48 obtains a private key registered in the key storage unit 46 and performs any of encryption / decryption / signature / authentication requested by the document operation unit 30. This process is executed.

証明書検証部49は、暗号処理部48から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部49が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。   Upon receiving the electronic certificate from the cryptographic processing unit 48, the certificate verification unit 49 confirms the validity of the received electronic certificate. The process of checking the validity of the electronic certificate performed by the certificate verification unit 49 is a process of checking the expiration date of the electronic certificate, a process of displaying the contents of the electronic certificate to the user, or a preset process. This is performed by a process for confirming whether the contents of the electronic certificate match the conditions.

認証局モジュール50が備える暗号データ生成部51は、秘密鍵制御モジュール40から暗号キーを受信すると、鍵生成部53に公開鍵と秘密鍵のペアを生成するように要求し、鍵生成部53によって生成された公開鍵を証明書生成部52に渡して電子証明書を生成させる。 その後、暗号データ生成部51は、生成された電子証明書と秘密鍵とを秘密鍵制御モジュール40から受信した暗号キーによって暗号化し、暗号化した暗号データを秘密鍵制御モジュール40に送信する。   When receiving the encryption key from the secret key control module 40, the encryption data generation unit 51 included in the certificate authority module 50 requests the key generation unit 53 to generate a public key / private key pair. The generated public key is passed to the certificate generation unit 52 to generate an electronic certificate. Thereafter, the encrypted data generation unit 51 encrypts the generated electronic certificate and secret key with the encryption key received from the secret key control module 40, and transmits the encrypted data to the secret key control module 40.

証明書生成部52は、暗号データ生成部51から公開鍵を受信して電子証明書の生成要求を受けると、受信した公開鍵より電子証明書を生成して、生成した電子証明書を暗号データ生成部51に渡す。   When the certificate generation unit 52 receives the public key from the encrypted data generation unit 51 and receives a request for generating an electronic certificate, the certificate generation unit 52 generates an electronic certificate from the received public key and converts the generated electronic certificate into encrypted data. The data is passed to the generation unit 51.

鍵生成部53は、暗号データ生成部51から要求があると、公開鍵と秘密鍵のペアを生成する。   When requested by the encryption data generation unit 51, the key generation unit 53 generates a public / private key pair.

次に、PC4内の秘密鍵制御モジュール40に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図3、図4を参照して説明を行う。   Next, processing for registering a private key and a unique electronic certificate in the private key in the private key control module 40 in the PC 4 will be described with reference to FIGS.

図3、図4は、秘密鍵制御モジュール40に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理を示したフローチャートである。   FIG. 3 and FIG. 4 are flowcharts showing processing for registering a secret key and a digital certificate unique to the secret key in the secret key control module 40.

まず、認証局証明書登録部10に記憶される認証局2の認証局証明書が、秘密鍵制御モジュール40内の認証局証明書保存部41に登録される処理が行われる(ステップ301)。   First, a process of registering the certificate authority certificate of the certificate authority 2 stored in the certificate authority certificate registration unit 10 in the certificate authority certificate storage unit 41 in the secret key control module 40 is performed (step 301).

認証局証明書保存部41には1つの認証局証明書しか登録されないので、認証局証明書登録部10から認証局証明書保存部41への登録は、秘密鍵制御システム100において1度だけである。 したがって、認証局証明書登録部10から認証局証明書保存部41へ認証局証明書の登録が試みられるときに、認証局証明書保存部41に既に認証局証明書が登録されていたときには登録の処理は行われない。 つまり、認証局証明書保存部41に、一旦、認証局証明書が登録されると新たな認証局証明書は登録されず、認証局証明書保存部41には常に1つの認証局証明書が登録された状態となる。   Since only one certificate authority certificate is registered in the certificate authority certificate storage unit 41, the registration from the certificate authority certificate registration unit 10 to the certificate authority certificate storage unit 41 is performed only once in the secret key control system 100. is there. Therefore, when an attempt is made to register a certificate authority certificate from the certificate authority certificate registration unit 10 to the certificate authority certificate storage unit 41, registration is performed when a certificate authority certificate has already been registered in the certificate authority certificate storage unit 41. Is not performed. That is, once a certificate authority certificate is registered in the certificate authority certificate storage unit 41, a new certificate authority certificate is not registered, and one certificate authority certificate is always stored in the certificate authority certificate storage unit 41. It will be in the registered state.

認証局証明書保存部41に認証局証明書が登録された後に、PC4のキーボードなどから認証局2への電子証明書を生成する要求をユーザから受け付けることができる。   After the certificate authority certificate is registered in the certificate authority certificate storage unit 41, a request for generating an electronic certificate for the certificate authority 2 from the keyboard of the PC 4 or the like can be received from the user.

PC4のキーボードなどから、認証局2へ電子証明書を生成する要求が行われると、電子証明書登録部20がその要求を受け付けて、電子証明書登録部20が暗号キー生成部42に電子証明書登録要求を行う。   When a request for generating an electronic certificate is made from the keyboard of the PC 4 to the certificate authority 2, the electronic certificate registration unit 20 receives the request, and the electronic certificate registration unit 20 sends an electronic certificate to the encryption key generation unit 42. Request certificate registration.

暗号キー生成部42が電子証明書登録部20からの電子証明書登録要求を受け付けると(ステップ302)、暗号キー生成部42は、認証局証明書保存部41に認証局2の認証局証明書が登録されていることを確認して(ステップ303でYES)、認証局モジュール50に送信する暗号キーを生成する(ステップ304)。 生成される暗号キーは、認証局モジュール50で、秘密鍵モジュール40に送信するデータを暗号化するためのものである。 暗号キー生成部42で生成された暗号キーは暗号キー保存部43に登録され(ステップ305)、そして、暗号キー保存部43に登録された暗号キーと同じ暗号キーが暗号キー生成部42から認証局モジュール50に送信される(ステップ306)。   When the encryption key generation unit 42 receives the electronic certificate registration request from the electronic certificate registration unit 20 (step 302), the encryption key generation unit 42 sends the certificate authority certificate of the certificate authority 2 to the certificate authority certificate storage unit 41. Is registered (YES in step 303), and an encryption key to be transmitted to the certificate authority module 50 is generated (step 304). The generated encryption key is for encrypting data to be transmitted to the secret key module 40 by the certificate authority module 50. The encryption key generated by the encryption key generation unit 42 is registered in the encryption key storage unit 43 (step 305), and the same encryption key as the encryption key registered in the encryption key storage unit 43 is authenticated from the encryption key generation unit 42. It is transmitted to the station module 50 (step 306).

なお、ステップ303で認証局証明書保存部41に認証局2の認証局証明書が登録されていなかった場合には(ステップ303でNO)、エラーとして処理は中断される(ステップ319)。   If the certificate authority certificate of the certificate authority 2 is not registered in the certificate authority certificate storage unit 41 in step 303 (NO in step 303), the process is interrupted as an error (step 319).

また、ステップ305で暗号キー保存部43に登録される暗号キーは1つだけであり、暗号キー保存部43に暗号キーが登録されると、暗号キー保存部43には常に1つの暗号キーが登録された状態となる。   In step 305, only one encryption key is registered in the encryption key storage unit 43. When an encryption key is registered in the encryption key storage unit 43, one encryption key is always stored in the encryption key storage unit 43. It will be in the registered state.

暗号キー生成部42から暗号キーの送信を受けた認証局モジュール50は、暗号データ生成部51が暗号キーを受信する(ステップ307)。   In the certificate authority module 50 that has received the transmission of the encryption key from the encryption key generation unit 42, the encryption data generation unit 51 receives the encryption key (step 307).

暗号データ生成部は暗号キーを受信すると、鍵生成部53に、公開鍵と秘密鍵のペアを生成する公開鍵ペア生成要求を渡す。   When the encryption data generation unit receives the encryption key, it passes to the key generation unit 53 a public key pair generation request for generating a public key / private key pair.

公開鍵ペア生成要求が渡された鍵生成部53は、公開鍵と秘密鍵のペアを生成する(ステップ308)。   The key generation unit 53 to which the public key pair generation request is passed generates a public key / private key pair (step 308).

そして、鍵生成部53は、生成した公開鍵と秘密鍵のペアを暗号データ生成部51に渡す。   Then, the key generation unit 53 passes the generated public / private key pair to the encrypted data generation unit 51.

公開鍵と秘密鍵のペアを渡された暗号データ生成部51は、その公開鍵を証明書生成部52に渡す。   The encrypted data generation unit 51 to which the public key / private key pair has been passed passes the public key to the certificate generation unit 52.

証明書生成部52は、渡された公開鍵から電子証明書を生成して(ステップ309)、暗号データ生成部51に生成した電子証明書を渡す。   The certificate generation unit 52 generates an electronic certificate from the passed public key (step 309), and passes the generated electronic certificate to the encrypted data generation unit 51.

この時点で、暗号データ生成部51は、秘密鍵制御モジュール40から渡された暗号キーと、認証局モジュール50内で生成した秘密鍵とその秘密鍵に対応する電子証明書とを取得している。   At this time, the encryption data generation unit 51 has acquired the encryption key passed from the secret key control module 40, the secret key generated in the certificate authority module 50, and the electronic certificate corresponding to the secret key. .

そして、暗号データ生成部51は、秘密鍵とその秘密鍵に対応する電子証明書を暗号キーで暗号化して(ステップ310)、秘密鍵制御モジュール40に送信する暗号データを生成する。 生成された暗号データは、認証局2のPC5の暗号データ生成部51から、事業所1に備えられるPC4内の秘密鍵制御モジュール40の暗号データ復号部44に送信される(ステップ311)。   Then, the encrypted data generation unit 51 encrypts the secret key and the electronic certificate corresponding to the secret key with the encryption key (step 310), and generates encrypted data to be transmitted to the secret key control module 40. The generated encryption data is transmitted from the encryption data generation unit 51 of the PC 5 of the certificate authority 2 to the encryption data decryption unit 44 of the secret key control module 40 in the PC 4 provided in the office 1 (step 311).

認証局2から送られた暗号データは、PC4内の暗号データ復号部44で受信される(ステップ312)。   The encrypted data sent from the certificate authority 2 is received by the encrypted data decrypting unit 44 in the PC 4 (step 312).

暗号データ復号部44は、暗号データ受信後に、暗号キー保存部43より暗号キーを取得して、認証局2より受信した暗号データの復号を取得した暗号キーを使って行う。   The encrypted data decryption unit 44 acquires the encryption key from the encryption key storage unit 43 after receiving the encrypted data, and performs the decryption of the encrypted data received from the certificate authority 2 by using the acquired encryption key.

暗号キー保存部43より暗号キーを取得できなかった場合や暗号データの復号ができなかった場合には、秘密鍵制御システム100における処理がエラーとして中断される(ステップ313でNO)。   If the encryption key cannot be obtained from the encryption key storage unit 43 or if the encrypted data cannot be decrypted, the process in the secret key control system 100 is interrupted as an error (NO in step 313).

しかし、暗号キーが取得され暗号データの復号が行われた場合には(ステップ313でYES)、復号されることによって、暗号データ復号部44は暗号データに含まれていた秘密鍵とその秘密鍵に対応する電子証明書とを取得する。 暗号データ復号部44は取得した秘密鍵を鍵保存部46に渡す。   However, when the encryption key is acquired and the encrypted data is decrypted (YES in step 313), the encrypted data decrypting unit 44 decrypts the secret key included in the encrypted data and the secret key. Get an electronic certificate corresponding to. The encrypted data decryption unit 44 passes the acquired secret key to the key storage unit 46.

秘密鍵が渡された鍵保存部46で、既に秘密鍵が登録されていた場合には(ステップ314でNO)、エラーとして処理は中断される(ステップ319)。 また、秘密鍵が渡された鍵保存部46で、未だ秘密鍵が登録されていない場合には(ステップ314でYES)、鍵保存部46は渡された秘密鍵を登録する(ステップ315)。   If the secret key has already been registered in the key storage unit 46 to which the secret key has been passed (NO in step 314), the process is interrupted as an error (step 319). If the secret key is not yet registered in the key storage unit 46 to which the secret key has been passed (YES in step 314), the key storage unit 46 registers the passed secret key (step 315).

そして、暗号データ復号部44は取得した電子証明書を証明書確認部45に渡す。   Then, the encrypted data decryption unit 44 passes the acquired electronic certificate to the certificate confirmation unit 45.

証明書確認部45は、認証局証明書保存部41より認証局証明書保存部41に登録される認証局証明書を取得して、渡された電子証明書の認証局が取得した認証局証明書の認証局であることを確認する。   The certificate confirmation unit 45 acquires the certificate authority certificate registered in the certificate authority certificate storage unit 41 from the certificate authority certificate storage unit 41, and the certificate authority certificate acquired by the certificate authority of the passed electronic certificate. Confirm that it is the certificate authority of the certificate.

このとき、証明書確認部45が認証局証明書保存部41より認証局証明書を取得できない場合や、取得できたとしても渡された電子証明書の認証局と取得した認証局証明書の認証局とが異なっていた場合は、電子証明書の認証局の確認が行われなかったものとされ(ステップ316でNO)、エラーとして処理は中断される(ステップ319)。   At this time, if the certificate checking unit 45 cannot acquire the certificate authority certificate from the certificate authority certificate storage unit 41, or if it can be acquired, the certificate authority of the passed electronic certificate and the authentication of the acquired certificate authority certificate If it is different from the station, it is determined that the certificate authority of the electronic certificate has not been confirmed (NO in step 316), and the process is interrupted as an error (step 319).

証明書確認部45で、渡された電子証明書の認証局が、取得した認証局証明書の認証局であることが確認できた場合には(ステップ316でYES)、次に、証明書確認部45は、鍵保存部46から鍵保存部46に登録される秘密鍵を取得する。 そして、証明書確認部45は、暗号データ復号部44から渡された電子証明書の公開鍵が、鍵保存部46より取得した秘密鍵と対応関係にあることを確認する。   If the certificate confirmation unit 45 can confirm that the certificate authority of the passed electronic certificate is the certificate authority of the acquired certificate authority certificate (YES in step 316), then the certificate confirmation The unit 45 acquires the secret key registered in the key storage unit 46 from the key storage unit 46. Then, the certificate confirmation unit 45 confirms that the public key of the electronic certificate passed from the encrypted data decryption unit 44 has a correspondence relationship with the private key acquired from the key storage unit 46.

このとき、証明書確認部45が鍵保存部46より秘密鍵を取得できなかった場合や、暗号データ復号部44から渡された電子証明書の公開鍵が秘密鍵と対応関係になかった場合には、電子証明書の公開鍵の確認が行われなかったものとされ(ステップ317でNO)、エラーとして処理は中断される(ステップ319)。   At this time, when the certificate confirmation unit 45 cannot acquire the private key from the key storage unit 46, or when the public key of the electronic certificate passed from the encrypted data decryption unit 44 is not associated with the private key. Is that the public key of the electronic certificate has not been confirmed (NO in step 317), and the process is interrupted as an error (step 319).

電子証明書の認証局の確認(ステップ316でYES)と、電子証明書の公開鍵の確認(ステップ317でYES)とがされると、証明書確認部45は、認証局と公開鍵との確認が行われた電子証明書を電子証明書保存部47に登録する(ステップ318)。 ここで、電子証明書保存部47に登録される電子証明書は1つだけであり、一旦、電子証明書保存部47に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部47には常に1つだけの電子証明書が登録された状態となる。   When confirmation of the certificate authority of the electronic certificate (YES in step 316) and confirmation of the public key of the electronic certificate (YES in step 317), the certificate confirmation unit 45 determines whether the certificate authority and the public key are The confirmed electronic certificate is registered in the electronic certificate storage unit 47 (step 318). Here, only one electronic certificate is registered in the electronic certificate storage unit 47. Once an electronic certificate is registered in the electronic certificate storage unit 47, no new electronic certificate is registered. In the electronic certificate storage unit 47, only one electronic certificate is always registered.

このようにして、PC4に秘密鍵とその秘密鍵に一意な電子証明書の登録が完了する。 秘密鍵の使用が要求される場合には、登録された電子証明書の有効性が確認された後に秘密鍵の使用が行われるように、秘密鍵制御モジュール40は制御される。   In this way, the registration of the private key and the electronic certificate unique to the private key is completed in the PC 4. When the use of the private key is required, the private key control module 40 is controlled so that the private key is used after the validity of the registered electronic certificate is confirmed.

次に、PC4で秘密鍵が必要なデータの暗号等の要求が行われる処理について図5を参照して説明を行う。   Next, a process for requesting encryption or the like of data requiring a secret key in the PC 4 will be described with reference to FIG.

図5は、PC4で秘密鍵が必要なデータの暗号等の要求が行われる処理について示したフローチャートである。   FIG. 5 is a flowchart showing a process in which a request such as encryption of data requiring a secret key is performed in the PC 4.

PC4において、秘密鍵を必要とするデータの暗号/復号/署名/認証のいずれかの処理の要求が発生すると、データ処理部30が処理要求を暗号処理部48に対して送る。   When a request for any of encryption / decryption / signature / authentication of data requiring a private key is generated in the PC 4, the data processing unit 30 sends a processing request to the encryption processing unit 48.

データ処理部30が暗号処理部48に送る処理要求には、要求が、暗号ならば暗号化されるデータ、復号ならば暗号データ、署名ならばメッセージから割り出したハッシュ値等、認証ならば認証に必要なデータが含まれる。 これらの処理要求はいずれも秘密鍵の使用が必要な処理である。   The processing request sent from the data processing unit 30 to the encryption processing unit 48 includes data to be encrypted if the request is encrypted, encrypted data if the request is decrypted, hash value obtained from the message if the request is a signature, etc. Contains necessary data. These processing requests are processes that require the use of a secret key.

暗号処理部48は、暗号/復号/署名/認証のいずれかの処理要求をデータ処理部30より受け付けると(ステップ501)、電子証明書保存部47より電子証明書を取得する。   When the cryptographic processing unit 48 receives a processing request for encryption / decryption / signature / authentication from the data processing unit 30 (step 501), the cryptographic processing unit 48 acquires an electronic certificate from the electronic certificate storage unit 47.

電子証明書保存部47に電子証明書が登録されてないなどの理由により、暗号処理部48が電子証明書保存部47より電子証明書を取得できなかったら(ステップ502でNO)、エラーとして処理は中断される(ステップ508)。   If the cryptographic processing unit 48 cannot obtain an electronic certificate from the electronic certificate storage unit 47 because the electronic certificate is not registered in the electronic certificate storage unit 47 (NO in step 502), it is processed as an error. Is interrupted (step 508).

暗号処理部48が電子証明書保存部47より電子証明書を取得すると(ステップ502でYES)、暗号処理部48は、電子証明書を証明書検証部49に渡して、電子証明書の有効性の確認を行わせる。   When the cryptographic processing unit 48 obtains an electronic certificate from the electronic certificate storage unit 47 (YES in step 502), the cryptographic processing unit 48 passes the electronic certificate to the certificate verification unit 49 and validates the electronic certificate. Let's confirm.

証明書検証部49は、渡された電子証明書の有効性を確認する処理を、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理によって行う(ステップ503)。   The certificate verification unit 49 performs processing for confirming the validity of the passed electronic certificate, processing for confirming the expiration date of the electronic certificate, processing for displaying the contents of the electronic certificate to the user, or in advance This is performed by checking whether or not the contents of the electronic certificate match the set conditions (step 503).

証明書検証部49によって、電子証明書の有効性が確認されなかったら(ステップ504でNO)、エラーとして処理は中断される(ステップ508)。 処理が中断されると、データ処理部30より要求された処理は行われない。   If the validity of the electronic certificate is not confirmed by the certificate verification unit 49 (NO in step 504), the process is interrupted as an error (step 508). When the process is interrupted, the process requested by the data processing unit 30 is not performed.

また、証明書検証部49によって、電子証明書の有効性が確認されたら(ステップ504でYES)秘密鍵の使用が許可され、暗号処理部48は、鍵保存部46に登録される秘密鍵を鍵保存部46から取得する(ステップ505)。   When the validity of the electronic certificate is confirmed by the certificate verification unit 49 (YES in step 504), the use of the private key is permitted, and the encryption processing unit 48 uses the private key registered in the key storage unit 46. Obtained from the key storage unit 46 (step 505).

暗号処理部48は、鍵保存部46より取得した秘密鍵を使用して、データ処理部30から受け付けた処理要求に対する処理を行う(ステップ506)。 つまり、処理要求が、暗号であれば秘密鍵が使用されてデータの暗号化が行われ、復号であれば秘密鍵が使用されて暗号データの復号が行われ、署名であれば秘密鍵が使用されてハッシュ値の暗号化が行われ、認証ならば秘密鍵が使用されて認証が行われる。   The cryptographic processing unit 48 performs processing for the processing request received from the data processing unit 30 using the private key acquired from the key storage unit 46 (step 506). In other words, if the processing request is encryption, the secret key is used to encrypt the data, if decrypted, the secret key is used to decrypt the encrypted data, and if it is a signature, the secret key is used. Then, the hash value is encrypted, and if authentication is performed, the secret key is used for authentication.

そして、暗号処理部48で行われた処理により生成されたデータが、暗号処理部48からデータ処理部30に送られる(ステップ507)。 暗号処理部48からデータ処理部30に送られるデータは、暗号化されたデータ、或いは、復号されたデータ、或いは、署名、或いは、認証結果などである。   Then, the data generated by the processing performed by the cryptographic processing unit 48 is sent from the cryptographic processing unit 48 to the data processing unit 30 (step 507). The data sent from the encryption processing unit 48 to the data processing unit 30 is encrypted data, decrypted data, a signature, an authentication result, or the like.

このようなデータが送られたデータ処理部30は、送られるデータを受信し、処理要求の結果を得る。   The data processing unit 30 to which such data is sent receives the sent data and obtains a result of the processing request.

次に、本発明に係わる秘密鍵制御システム100の応用例について図6を参照して説明を行う。   Next, an application example of the secret key control system 100 according to the present invention will be described with reference to FIG.

図6は、秘密鍵制御システム100の応用例について示した図である。   FIG. 6 is a diagram showing an application example of the secret key control system 100.

図6(a)に示すように、秘密鍵制御システム100の応用例としては、認証局2に配置されるPC5と事業所1に配置されるPC4とが通信回線3により接続され、そして、事業所1内のPC4にはIC(Integrated Circuit)カード読書き装置601が接続される。   As shown in FIG. 6A, as an application example of the secret key control system 100, the PC 5 arranged in the certificate authority 2 and the PC 4 arranged in the office 1 are connected by the communication line 3, and the business An IC (Integrated Circuit) card reading / writing device 601 is connected to the PC 4 in the station 1.

ICカード読書き装置601は、ICカード602に記録された情報を読み取ることができ、また、ICカード602に対して情報を書き込むことができる。   The IC card reader / writer 601 can read information recorded on the IC card 602 and can write information to the IC card 602.

PC4は、認証証明書登録部10、電子証明書登録部20、データ処理部30を備える。 そして、ICカード602には、秘密鍵制御モジュール40の機能がプログラムとして組み込まれている。   The PC 4 includes an authentication certificate registration unit 10, an electronic certificate registration unit 20, and a data processing unit 30. The function of the secret key control module 40 is incorporated in the IC card 602 as a program.

ICカード602に配置される秘密鍵制御モジュール40は、図1(b)を参照して説明したPC4に備えられる秘密鍵制御モジュール40の機能がプログラムとしてICカード602内に組み込まれた状態である。   The secret key control module 40 disposed in the IC card 602 is in a state in which the function of the secret key control module 40 provided in the PC 4 described with reference to FIG. 1B is incorporated in the IC card 602 as a program. .

図3、図4を参照して説明した、秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録は、ICカード602がICカード読書き装置601にセットされた状態で行われる。 ICカード602内の秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録の処理は、PC4内に配置される認証局証明書登録部10、電子証明書登録部20、データ処理部30と、ICカード602内にプログラムとして組み込まれた秘密鍵制御モジュール40によって、図3、図4を参照して説明したように行われるが、ICカード602内に外部との情報の授受を行う図示しない通信インタフェースが存在して、秘密鍵制御モジュール40と情報の授受が行われる。 そして、ICカード602内の秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録の処理は、図3、図4を参照して説明したPC4内に備えられる秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録の処理とほぼ同じであるため、説明は省略する(ICカード602内の秘密鍵制御モジュール40は図示しない通信インタフェースにより外部と情報の授受を行う点が異なる)。   The registration of the private key to the private key control module 40 and the electronic certificate unique to the private key described with reference to FIGS. 3 and 4 is a state in which the IC card 602 is set in the IC card reading / writing device 601. Done in The registration process of the private key to the private key control module 40 in the IC card 602 and the electronic certificate unique to the private key is performed by the certificate authority certificate registration unit 10 and the electronic certificate registration unit 20 arranged in the PC 4. The data processing unit 30 and the secret key control module 40 incorporated in the IC card 602 as a program are performed as described with reference to FIG. 3 and FIG. There is a communication interface (not shown) that exchanges information with the secret key control module 40 and exchanges information. The process of registering the private key to the private key control module 40 in the IC card 602 and the electronic certificate unique to the private key is the same as the private key provided in the PC 4 described with reference to FIGS. Since it is almost the same as the process of registering the private key to the control module 40 and the electronic certificate unique to the private key, the description is omitted (the private key control module 40 in the IC card 602 is externally connected by a communication interface not shown). Is different from the exchange of information).

ICカード602内に秘密鍵とその秘密鍵に一意な電子証明書が登録されると、そのICカード602内の秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理が可能となる。   When a private key and an electronic certificate unique to the private key are registered in the IC card 602, any of encryption / decryption / signature / authentication processing using the private key in the IC card 602 becomes possible. .

例えば、図6(b)に示すように、ICカード602内の秘密鍵制御モジュール40に秘密鍵とその秘密鍵に一意な電子証明書が登録されたICカード602が、認証装置603にかざされると、秘密鍵制御モジュール40に登録される電子証明書の有効性が確認されて、そして、ICカード602内の秘密鍵制御モジュール40内に登録される秘密鍵が使用されて認証の処理が行われる。 図1(b)を参照して説明したPC4では、PC4内のデータ処理部30が、PC4内の秘密鍵制御モジュール40に秘密鍵の使用が必要なデータの処理要求を行うように説明したが、図6(b)を参照して説明する認証の処理では、PC4内のデータ処理部30の代わりに認証装置603が、ICカード602内の秘密鍵制御モジュール40に秘密鍵の使用が必要なデータの処理要求を行う。 そして、認証装置603によってICカード602の認証が行われる処理は、図5を参照して説明した秘密鍵が必要なデータの暗号等の要求が行われる処理とほぼ同じである為、説明は省略する(ICカード602内の秘密鍵制御モジュール40はICカード602内の図示しない通信インタフェースにより外部と情報の授受を行う点が異なる)。   For example, as shown in FIG. 6B, an IC card 602 in which a secret key and a unique electronic certificate are registered in the secret key control module 40 in the IC card 602 is placed over the authentication device 603. The validity of the electronic certificate registered in the private key control module 40 is confirmed, and the private key registered in the private key control module 40 in the IC card 602 is used to perform authentication processing. Is called. In the PC 4 described with reference to FIG. 1B, it has been described that the data processing unit 30 in the PC 4 requests the secret key control module 40 in the PC 4 to process data that requires the use of the secret key. In the authentication processing described with reference to FIG. 6B, the authentication device 603 needs to use the secret key for the secret key control module 40 in the IC card 602 instead of the data processing unit 30 in the PC 4. Request data processing. The processing for authenticating the IC card 602 by the authentication device 603 is almost the same as the processing for requesting encryption of data that requires a secret key described with reference to FIG. (The secret key control module 40 in the IC card 602 is different in that information is exchanged with the outside through a communication interface (not shown) in the IC card 602).

なお、秘密鍵制御システム100において、秘密鍵制御モジュール40に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図3、図4のフローチャートに相当)には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際(図5のフローチャートに相当)には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要はない。   In the private key control system 100, when the private key and the electronic certificate corresponding to the private key are registered in the private key control module 40 (corresponding to the flowcharts in FIGS. 3 and 4), the business office 1 PC 4 in the certificate authority 2 and PC 5 in the certificate authority 2 need to be in a connectable state, but when a processing request is made by the data processing unit 30 (corresponding to the flowchart in FIG. 5), It is not necessary that the PC 4 and the PC 5 in the certificate authority 2 can be connected.

なお、ステップ503において証明書検証部49が行う電子証明書の有効性を確認する処理は、記述した以外の処理で行われても良い。例えば、秘密鍵制御モジュール40内に認証局が発行した証明書失効リストを受信するリスト受信部を備えて、リスト受信部内の証明書失効リストをチェックすることで電子証明書の有効性を確認する処理などである。   Note that the processing of checking the validity of the electronic certificate performed by the certificate verification unit 49 in step 503 may be performed by processing other than that described. For example, the private key control module 40 includes a list receiving unit that receives a certificate revocation list issued by a certificate authority, and checks the validity of the electronic certificate by checking the certificate revocation list in the list receiving unit. Processing.

本実施例では、事業所1内で使用されるPC4内に認証局証明書登録部10、秘密鍵制御モジュール60などが備えられ、認証局2内で使用されるPC5内に認証局モジュール70が備えられる秘密鍵制御システム100について説明を行う(図1(b)を参照して説明した構成)。   In the present embodiment, the certificate authority certificate registration unit 10 and the secret key control module 60 are provided in the PC 4 used in the office 1, and the certificate authority module 70 is provided in the PC 5 used in the certificate authority 2. The secret key control system 100 provided will be described (configuration described with reference to FIG. 1B).

まず、秘密鍵制御モジュール60と認証局モジュール70などの構成について図7を参照して説明を行う。   First, the configuration of the secret key control module 60 and the certificate authority module 70 will be described with reference to FIG.

図7は、秘密鍵制御モジュール60と認証局モジュール70などの構成について示したブロック図である。   FIG. 7 is a block diagram showing the configuration of the secret key control module 60, the certificate authority module 70, and the like.

事業所1内のPC4内には、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール60が備えられ、認証局2内のPC5内には、認証局モジュール70が備えられる。   The PC 4 in the office 1 includes a certificate authority certificate registration unit 10, an electronic certificate registration unit 20, a data processing unit 30, and a secret key control module 60. A station module 70 is provided.

秘密鍵制御モジュール60は、認証局証明書保存部61、鍵生成部62、証明書要求生成部63、証明書確認部64、電子証明書保存部65、鍵保存部66、暗号処理部67、証明書検証部68を備える。   The private key control module 60 includes a certificate authority certificate storage unit 61, a key generation unit 62, a certificate request generation unit 63, a certificate confirmation unit 64, an electronic certificate storage unit 65, a key storage unit 66, an encryption processing unit 67, A certificate verification unit 68 is provided.

認証局モジュール70は、証明書生成部71を備える。   The certificate authority module 70 includes a certificate generation unit 71.

認証局証明書保存部61は、認証局証明書登録部10より受け付けた認証局証明書を記憶保存することにより、認証局証明書の登録を行う。 そして、認証局証明書保存部61は、1つの認証局証明書しか登録しない。 認証局証明書保存部61に、一旦、認証局証明書が登録されると、認証局証明書保存部61には常に1つだけの認証局証明書が登録された状態になる。   The certificate authority certificate storage unit 61 registers the certificate authority certificate by storing and storing the certificate authority certificate received from the certificate authority certificate registration unit 10. The certificate authority certificate storage unit 61 registers only one certificate authority certificate. Once the certificate authority certificate is registered in the certificate authority certificate storage unit 61, only one certificate authority certificate is always registered in the certificate authority certificate storage unit 61.

鍵生成部62は、公開鍵と秘密鍵のペアを生成する処理を行う。   The key generation unit 62 performs a process of generating a public key / private key pair.

証明書要求生成部63は、電子証明書登録部20よりユーザからの電子証明書登録要求を受け付け、認証局証明書保存部61に認証局証明書が登録されていることを確認し、鍵生成部62に公開鍵と秘密鍵のペアを生成させる。 そして、証明書要求生成部63は、鍵生成部62が生成した公開鍵を使用して、認証局モジュール70に送信する電子証明書要求を生成する。 証明書要求生成部63によって生成される電子証明書要求には、鍵生成部62が生成した公開鍵が含まれる。 認証書要求生成部63は、電子証明書要求を生成して、生成した電子証明書要求を認証局モジュール70に送信する。   The certificate request generation unit 63 receives an electronic certificate registration request from the user from the electronic certificate registration unit 20, confirms that the certificate authority certificate is registered in the certificate authority certificate storage unit 61, and generates a key. The unit 62 generates a public key / private key pair. Then, the certificate request generation unit 63 generates an electronic certificate request to be transmitted to the certificate authority module 70 using the public key generated by the key generation unit 62. The electronic certificate request generated by the certificate request generation unit 63 includes the public key generated by the key generation unit 62. The certificate request generation unit 63 generates an electronic certificate request and transmits the generated electronic certificate request to the certificate authority module 70.

証明書確認部64は、認証局モジュール70から電子証明書を受け取り、そして、その電子証明書が、認証局証明書保存部61に登録されている認証局証明書より証明される認証局から発行されたものであることを確認する。 その後、証明書確認部64は、渡された電子証明書に含まれる公開鍵が、鍵保存部66に登録される秘密鍵に対応することを確認して、確認後、電子証明書を電子証明書保存部65に登録させる。   The certificate confirmation unit 64 receives the electronic certificate from the certificate authority module 70, and the electronic certificate is issued from the certificate authority certified by the certificate authority certificate registered in the certificate authority certificate storage unit 61. Make sure that Thereafter, the certificate confirmation unit 64 confirms that the public key included in the delivered electronic certificate corresponds to the private key registered in the key storage unit 66. Registered in the document storage unit 65.

電子証明書保存部65は、証明書確認部64から渡された電子証明書を記憶保存することにより、電子証明書の登録を行う。   The electronic certificate storage unit 65 registers the electronic certificate by storing and storing the electronic certificate passed from the certificate confirmation unit 64.

鍵保存部66は、証明書要求生成部63より秘密鍵を受け取り、その秘密鍵を記憶保存することにより、秘密鍵の登録を行う。 鍵保存部66には1つの秘密鍵だけが登録され、一旦、鍵保存部66に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部66には常に1つだけの秘密鍵が登録された状態となる。   The key storage unit 66 receives the secret key from the certificate request generation unit 63 and stores the secret key to register the secret key. Only one secret key is registered in the key storage unit 66. Once a secret key is registered in the key storage unit 66, no new secret key is registered, and only one key is always stored in the key storage unit 66. The private key is registered.

暗号処理部67は、文書操作部30から秘密鍵を必要とする暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部65から電子証明書を取得し、取得した電子証明書を証明書検証部68に渡して、電子証明書の有効性の確認を行わせる。 暗号処理部67は、証明書検証部68により電子証明書の有効性が確認されると、鍵保存部66に登録される秘密鍵を使用して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。   When the document operation unit 30 requests any one of encryption / decryption / signature / authentication processing that requires a private key, the encryption processing unit 67 acquires and acquires an electronic certificate from the electronic certificate storage unit 65. The electronic certificate is passed to the certificate verification unit 68 to check the validity of the electronic certificate. When the validity of the electronic certificate is confirmed by the certificate verification unit 68, the encryption processing unit 67 uses the private key registered in the key storage unit 66 to perform the encryption / decryption requested by the document operation unit 30. / Signature / authentication process is executed.

証明書検証部68は、暗号処理部67から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部68が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。   Upon receiving the electronic certificate from the cryptographic processing unit 67, the certificate verification unit 68 confirms the validity of the received electronic certificate. The process of checking the validity of the electronic certificate performed by the certificate verification unit 68 is a process of checking the expiration date of the electronic certificate, a process of displaying the contents of the electronic certificate to the user, or a preset process. This is performed by a process for confirming whether the contents of the electronic certificate match the conditions.

次に、PC4内の秘密鍵制御モジュール60に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図8を参照して説明を行う。   Next, processing for registering a private key and a unique electronic certificate for the private key in the private key control module 60 in the PC 4 will be described with reference to FIG.

図8は、秘密鍵制御モジュール60に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理を示したフローチャートである。   FIG. 8 is a flowchart showing processing for registering a secret key and a digital certificate unique to the secret key in the secret key control module 60.

まず、認証局証明書登録部10に記憶される認証局2の認証局証明書が、認証局証明書保存部61に登録される処理が行われる(ステップ801)。   First, a process of registering the certificate authority certificate of the certificate authority 2 stored in the certificate authority certificate registration unit 10 in the certificate authority certificate storage unit 61 is performed (step 801).

認証局証明書保存部61に登録される認証局証明書は1つの認証局証明書しか登録されないので、認証局証明書登録部10から認証局証明書保存部61への登録は、秘密鍵制御システム100において1度だけである。 だから、認証局証明書登録部10から認証局証明書保存部61へ認証局証明書の登録が試みられるときに、認証局証明書保存部61に既に認証局証明書が登録されていたときには登録の処理は行われない。   Since only one certificate authority certificate is registered in the certificate authority certificate storage unit 61, registration from the certificate authority certificate registration unit 10 to the certificate authority certificate storage unit 61 is controlled by a private key. Only once in the system 100. Therefore, when an attempt is made to register a certificate authority certificate from the certificate authority certificate registration unit 10 to the certificate authority certificate storage unit 61, registration is performed when the certificate authority certificate has already been registered in the certificate authority certificate storage unit 61. Is not performed.

認証局証明書保存部61に認証局証明書が登録された後に、PC4のキーボードなどから認証局2への電子証明書を生成する要求をユーザから受け付けることができる。   After the certificate authority certificate is registered in the certificate authority certificate storage unit 61, a request for generating an electronic certificate for the certificate authority 2 from the keyboard of the PC 4 or the like can be received from the user.

PC4のキーボードなどから、認証局2へ電子証明書を生成する要求が行われると、電子証明書登録部20が、その要求を受け付けて、証明書要求生成部63に電子証明書登録要求を行う。   When a request for generating an electronic certificate is made from the keyboard of the PC 4 to the certificate authority 2, the electronic certificate registration unit 20 receives the request and makes an electronic certificate registration request to the certificate request generation unit 63. .

電子証明書登録部20が行った電子証明書登録要求は、証明書要求生成部63で受け付けられる(ステップ802)。   The electronic certificate registration request made by the electronic certificate registration unit 20 is accepted by the certificate request generation unit 63 (step 802).

電子証明書の登録要求を受け付けた証明書要求生成部63は、認証局証明書保存部61に認証局2の認証局証明書が登録されていることを確認して(ステップ803でYES)、鍵生成部62に公開鍵と秘密鍵のペアの生成を要求する。   Upon receiving the electronic certificate registration request, the certificate request generation unit 63 confirms that the certificate authority certificate of the certificate authority 2 is registered in the certificate authority certificate storage unit 61 (YES in step 803). The key generation unit 62 is requested to generate a public key / private key pair.

鍵生成部62で公開鍵と秘密鍵のペアが生成されると(ステップ804)、鍵生成部62は、生成した公開鍵と秘密鍵のペアを証明書要求生成部63に渡す。 公開鍵と秘密鍵のペアが渡された証明書要求生成部63は、渡された秘密鍵を鍵保存部66へ渡す。   When the key generation unit 62 generates a public key / private key pair (step 804), the key generation unit 62 passes the generated public key / private key pair to the certificate request generation unit 63. The certificate request generating unit 63 to which the public key / private key pair has been passed passes the passed private key to the key storage unit 66.

秘密鍵が渡された鍵保存部66で、既に秘密鍵が登録されていた場合には(ステップ805でNO)、エラーとして処理は中断される(ステップ814)。 秘密鍵が渡された鍵保存部127で、未だ秘密鍵が登録されていない場合には(ステップ805でYES)、鍵保存部127は、渡された秘密鍵を登録する(ステップ806)。   If the secret key has already been registered in the key storage unit 66 to which the secret key has been passed (NO in step 805), the process is interrupted as an error (step 814). If the secret key is not yet registered in the key storage unit 127 to which the secret key has been passed (YES in step 805), the key storage unit 127 registers the passed secret key (step 806).

鍵保存部66に登録される鍵は1つだけである。 ここで、一旦、鍵保存部66に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部66には常に1つだけの秘密鍵が登録された状態となる。   Only one key is registered in the key storage unit 66. Here, once a secret key is registered in the key storage unit 66, a new secret key is not registered, and only one secret key is always registered in the key storage unit 66.

鍵保存部66に鍵が登録されると、証明書要求生成部63は、鍵生成部62から渡された公開鍵を使用して電子証明書要求を生成し、認証局モジュール70に、生成した電子証明書要求を送信する(ステップ807)。 この認証局モジュール70に送られる電子証明書要求は、証明書要求生成部63が鍵生成部62から渡された公開鍵を含むものである。   When the key is registered in the key storage unit 66, the certificate request generation unit 63 generates an electronic certificate request using the public key passed from the key generation unit 62, and generates the certificate request in the certificate authority module 70. An electronic certificate request is transmitted (step 807). The electronic certificate request sent to the certificate authority module 70 includes the public key passed from the key generation unit 62 by the certificate request generation unit 63.

証明書生成部71は、電子証明書要求を受信し、電子証明書要求に含まれる公開鍵を使用して電子証明書を生成する(ステップ808)。 そして、生成された電子証明書は、証明書生成部71から秘密鍵制御モジュール60の証明書確認部64に送信される(ステップ809)。   The certificate generation unit 71 receives the electronic certificate request and generates an electronic certificate using the public key included in the electronic certificate request (step 808). Then, the generated electronic certificate is transmitted from the certificate generation unit 71 to the certificate confirmation unit 64 of the private key control module 60 (step 809).

証明書生成部71から送られた電子証明書は、証明書確認部64で受信される(ステップ810)。   The electronic certificate sent from the certificate generation unit 71 is received by the certificate confirmation unit 64 (step 810).

電子証明書が送られた証明書確認部64は、秘密鍵制御モジュール60内の認証局証明書保存部61から認証局証明書を取得し、そして、認証局モジュール70から送られた電子証明書が、取得した認証局証明書より証明される認証局から発行されたものであることを確認する。 このように電子証明書の発行元の認証局の確認が行われる際に、証明書確認部64が、認証局証明書保存部61から認証局証明書を取得できない場合や、認証局証明書の取得後に認証局の確認ができなかった場合には、電子証明書が発行された認証局の確認が行われなかったものとされ(ステップ811でNO)、エラーとして処理は中断される(ステップ814)。   The certificate confirmation unit 64 to which the electronic certificate is sent acquires the certificate authority certificate from the certificate authority certificate storage unit 61 in the private key control module 60, and the electronic certificate sent from the certificate authority module 70. Confirm that the certificate is issued by a certificate authority certified by the acquired certificate authority certificate. In this way, when the certificate authority that issued the electronic certificate is confirmed, the certificate confirmation unit 64 cannot acquire the certificate authority certificate from the certificate authority certificate storage unit 61 or the certificate authority certificate If the certificate authority cannot be confirmed after acquisition, it is assumed that the certificate authority that issued the electronic certificate has not been confirmed (NO in step 811), and the process is interrupted as an error (step 814). ).

次に、証明書確認部64は、鍵保存部66に登録される秘密鍵を鍵保存部66より取得し、そして、認証局モジュール70から送られた電子証明書の公開鍵が、取得した秘密鍵と対応していることを確認する。 証明書確認部64が、電子証明書の公開鍵の確認を行う際に、鍵保存部66に登録される秘密鍵を取得できない場合や、電子証明書の公開鍵が取得した秘密鍵と対応していない場合には、電子証明書の公開鍵の確認が行われなかったものとされ(ステップ812でNO)、エラーとして処理は中断される(ステップ814)。   Next, the certificate confirmation unit 64 acquires the private key registered in the key storage unit 66 from the key storage unit 66, and the public key of the electronic certificate sent from the certificate authority module 70 is the acquired secret. Make sure that it corresponds to the key. When the certificate confirmation unit 64 confirms the public key of the electronic certificate, it corresponds to the case where the private key registered in the key storage unit 66 cannot be acquired or the public key of the electronic certificate corresponds to the acquired private key. If not, it is assumed that the public key of the electronic certificate has not been confirmed (NO in step 812), and the process is interrupted as an error (step 814).

認証局モジュール70から送られた電子証明書の、認証局の確認(ステップ811でYES)と、公開鍵の確認(ステップ812でYES)とが行われると、証明書確認部64は、両方の確認が行われた電子証明書を電子証明書保存部65に登録する(ステップ813)。 なお、電子証明書保存部65に登録される電子証明書は1つだけである。 ここで、一旦、電子証明書保存部65に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部65には常に1つだけの電子証明書が登録された状態となる。   When the certificate authority confirmation (YES in step 811) and the public key confirmation (YES in step 812) of the electronic certificate sent from the certificate authority module 70 are performed, the certificate confirmation unit 64 The verified electronic certificate is registered in the electronic certificate storage unit 65 (step 813). Note that only one electronic certificate is registered in the electronic certificate storage unit 65. Here, once an electronic certificate is registered in the electronic certificate storage unit 65, no new electronic certificate is registered, and only one electronic certificate is always registered in the electronic certificate storage unit 65. It becomes a state.

このようにしてPC4に秘密鍵とその秘密鍵に一意な電子証明書の登録が完了する。 秘密鍵の使用が要求される場合には、登録された電子証明書の有効性が確認されるようにし、その後、秘密鍵が使用されるように制御される。   In this way, the registration of the private key and the electronic certificate unique to the private key is completed in the PC 4. When the use of the private key is required, the validity of the registered electronic certificate is confirmed, and then the private key is controlled to be used.

次に、PC4で秘密鍵が必要なデータの暗号等の要求が行われることについての説明は、実施例1において、図5を参照して説明した内容と同じであるため詳細な説明は省略する。 但し、実施例1における記述において、秘密鍵制御モジュール40、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49は、それぞれ、秘密鍵制御モジュール60、鍵保存部66、電子証明書保存部65、暗号処理部67、証明書検証部68に置き換えて説明されるものとする。   Next, the explanation about the request for encryption of data requiring a secret key in the PC 4 is the same as that described with reference to FIG. . However, in the description in the first embodiment, the secret key control module 40, the key storage unit 46, the electronic certificate storage unit 47, the encryption processing unit 48, and the certificate verification unit 49 are the secret key control module 60, the key storage unit, respectively. 66, the electronic certificate storage unit 65, the encryption processing unit 67, and the certificate verification unit 68 will be described.

なお、本実施例においても、実施例1で図6を参照して説明したように、PC内の秘密鍵モジュールである秘密鍵制御モジュール60の機能をICカード602内にプログラムとして組み込んで、ICカード602で秘密鍵が必要な暗号/復号/署名/認証のいずれかの処理が行われるようにすることができる。 その際、図6に示す認証局2のPC5内には、認証局モジュール70が認証局モジュール50の代わりに配置される。 そして、図6に示すICカード602には、秘密鍵制御モジュール60が秘密鍵制御モジュール40の代わりに備えられ、外部との情報の授受を行う図示しない通信インタフェースが存在して、その通信インタフェースが秘密鍵制御モジュール60と情報の授受を行う。   In the present embodiment, as described with reference to FIG. 6 in the first embodiment, the function of the secret key control module 60 that is a secret key module in the PC is incorporated in the IC card 602 as a program, and the IC Any of encryption / decryption / signature / authentication processing that requires a secret key can be performed in the card 602. At that time, the certificate authority module 70 is arranged in place of the certificate authority module 50 in the PC 5 of the certificate authority 2 shown in FIG. The IC card 602 shown in FIG. 6 includes a secret key control module 60 instead of the secret key control module 40, and has a communication interface (not shown) for exchanging information with the outside. Information is exchanged with the secret key control module 60.

なお、秘密鍵制御システム100において、秘密鍵制御モジュール60に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図8のフローチャートに相当)には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要はない。   In the secret key control system 100, when the secret key and the electronic certificate corresponding to the secret key are registered in the secret key control module 60 (corresponding to the flowchart of FIG. 8), the PC 4 in the office 1 And the PC 5 in the certification authority 2 need to be in a connectable state, but when the data processing unit 30 issues a processing request, the PC 4 in the business establishment 1 and the PC 5 in the certification authority 2 are connected. It doesn't have to be possible.

本実施例では、事業所1内で使用されるPC6内にSharedSecret登録部80、秘密鍵制御モジュール90などが備えられ、認証局2内で使用されるPC7内に認証局モジュール110が備えられる秘密鍵制御システム100について説明を行う(図1(c)を参照して説明した構成)。   In this embodiment, a shared secret registration unit 80, a secret key control module 90, and the like are provided in the PC 6 used in the office 1, and a certificate authority module 110 is provided in the PC 7 used in the certificate authority 2. The key control system 100 will be described (configuration described with reference to FIG. 1C).

まず、秘密鍵制御モジュール90と認証局モジュール110などの構成について図9を参照して説明を行う。   First, the configuration of the secret key control module 90 and the certificate authority module 110 will be described with reference to FIG.

図9は、秘密鍵制御モジュール90と認証局モジュール110などの構成を示したブロック図である。   FIG. 9 is a block diagram showing the configuration of the secret key control module 90, the certificate authority module 110, and the like.

事業所1内のPC6内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール90が備えられ、認証局2内のPC7内には、認証局モジュール110が備えられる。   A shared secret registration unit 80, an electronic certificate registration unit 20, a data processing unit 30, and a private key control module 90 are provided in the PC 6 in the business office 1, and the certificate authority module 110 is included in the PC 7 in the certificate authority 2. Is provided.

秘密鍵制御モジュール90は、SharedSecret保存部91、暗号キー保存部92、暗号キー生成部93、SharedSecret検証部94、暗号データ復号部95、証明書確認部96、電子証明書保存部97、鍵保存部98、暗号処理部99、証明書検証部100を備える。   The secret key control module 90 includes a shared secret storage unit 91, an encryption key storage unit 92, an encryption key generation unit 93, a shared secret verification unit 94, an encrypted data decryption unit 95, a certificate confirmation unit 96, an electronic certificate storage unit 97, and a key storage. Unit 98, cryptographic processing unit 99, and certificate verification unit 100.

認証局モジュール110は、SharedSecret保存部111、SharedSecret処理部112、暗号データ生成部113、証明書生成部114、鍵生成部115を備える。   The certificate authority module 110 includes a shared secret storage unit 111, a shared secret processing unit 112, an encrypted data generation unit 113, a certificate generation unit 114, and a key generation unit 115.

SharedSecret保存部91は、SharedSecret登録部80より受け付けたSharedSecretを記憶保存することで、SharedSecretの登録を行う。 SharedSecret保存部91に保存されるSharedSecretは、認証局モジュール110内のSharedSecret保存部111に記憶されるSharedSecretと同じである。 そして、SharedSecret保存部91は、1つのSharedSecretしか登録しない。   The SharedSecret storage unit 91 registers SharedSecret by storing and storing the SharedSecret received from the SharedSecret registration unit 80. The SharedSecret stored in the SharedSecret storage unit 91 is the same as the SharedSecret stored in the SharedSecret storage unit 111 in the certificate authority module 110. Then, the SharedSecret storage unit 91 registers only one SharedSecret.

一旦、SharedSecret保存部91にSharedSecretが登録されると、SharedSecret保存部91には常に1つだけのSharedSecretが登録される状態となる。   Once the SharedSecret is registered in the SharedSecret storage unit 91, only one SharedSecret is always registered in the SharedSecret storage unit 91.

暗号キー保存部92は、暗号キー生成部93によって認証局モジュール110に送信される暗号キーを記憶保存することにより、暗号キーの登録を行う。 暗号キー保存部43に登録される暗号キーは1つである。 そして、一旦、暗号キー保存部43に暗号キーが登録されると、暗号キー保存部43には常に1つだけの暗号キーが登録された状態となる。   The encryption key storage unit 92 registers the encryption key by storing and storing the encryption key transmitted to the certificate authority module 110 by the encryption key generation unit 93. There is one encryption key registered in the encryption key storage unit 43. Once an encryption key is registered in the encryption key storage unit 43, only one encryption key is always registered in the encryption key storage unit 43.

暗号キー生成部93は、電子証明書登録部20よりユーザからの電子証明書登録要求を受け付け、認証局証明書保存部91に証明局証明書が登録されていることを確認し、認証局モジュール110に送信する暗号キーを生成する。 暗号キー生成部93は、生成した暗号キーを暗号キー保存部92に登録し、生成した暗号キーを認証局モジュール110に送信する。   The encryption key generation unit 93 accepts an electronic certificate registration request from the user from the electronic certificate registration unit 20, confirms that the certification authority certificate is registered in the certification authority certificate storage unit 91, and the certification authority module An encryption key to be transmitted to 110 is generated. The encryption key generation unit 93 registers the generated encryption key in the encryption key storage unit 92 and transmits the generated encryption key to the certificate authority module 110.

SharedSecret検証部94は、SharedSecret保存部91よりSharedSecretを入手して、認証局モジュール110より受信した暗号データに付加された署名の検証を行う。 そして、SharedSecret検証部94は、認証局モジュール110から受信した暗号データからSharedSecret署名を削除した暗号データを、暗号データ復号部95に渡す。   The SharedSecret verification unit 94 obtains SharedSecret from the SharedSecret storage unit 91, and verifies the signature added to the encrypted data received from the certificate authority module 110. Then, the SharedSecret verification unit 94 passes the encrypted data obtained by deleting the SharedSecret signature from the encrypted data received from the certificate authority module 110 to the encrypted data decryption unit 95.

暗号データ復号部95は、暗号キー保存部92から暗号キーを取得し、SharedSecret検証部94から渡された暗号データの復号を行う。 そして、復号の結果得られる秘密鍵を鍵保存部98に渡し、復号の結果得られる電子証明書を証明書確認部96に渡す。   The encryption data decryption unit 95 acquires the encryption key from the encryption key storage unit 92 and decrypts the encryption data passed from the Shared Secret verification unit 94. Then, the private key obtained as a result of the decryption is passed to the key storage unit 98, and the electronic certificate obtained as a result of the decryption is passed to the certificate confirmation unit 96.

証明書確認部96は、鍵保存部98から秘密鍵を取得して、暗号データ復号部95から渡された電子証明書の公開鍵と取得した秘密鍵とが対応することを確認する。 そして、証明書確認部96は、確認した電子証明書を、電子証明書保存部97に渡す。   The certificate confirmation unit 96 obtains a private key from the key storage unit 98 and confirms that the public key of the electronic certificate passed from the encrypted data decryption unit 95 corresponds to the obtained private key. Then, the certificate confirmation unit 96 passes the confirmed electronic certificate to the electronic certificate storage unit 97.

電子証明書保存部97は、証明書確認部96から渡された電子証明書を記憶保存することにより、電子証明書の登録を行う。 電子証明書保存部97に登録される電子証明書は1つである。 一旦、電子証明書保存部97に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部97には常に1つだけの電子証明書が登録された状態となる。   The electronic certificate storage unit 97 registers the electronic certificate by storing and storing the electronic certificate passed from the certificate confirmation unit 96. There is one electronic certificate registered in the electronic certificate storage unit 97. Once an electronic certificate is registered in the electronic certificate storage unit 97, no new electronic certificate is registered, and only one electronic certificate is always registered in the electronic certificate storage unit 97. Become.

鍵保存部98は、暗号データ復号部95より渡された秘密鍵を記憶保存することにより、秘密鍵の登録を行う。 鍵保存部98には、1つだけの秘密鍵が登録され、一旦、鍵保存部98に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部98には常に1つだけの秘密鍵が登録された状態となる。   The key storage unit 98 registers the secret key by storing and storing the secret key delivered from the encrypted data decryption unit 95. Only one secret key is registered in the key storage unit 98. Once a secret key is registered in the key storage unit 98, no new secret key is registered, and one key is always stored in the key storage unit 98. Only the private key is registered.

暗号処理部99は、文書操作部30から秘密鍵を必要とする暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部97から電子証明書を取得し、取得した電子証明書を証明書検証部100に渡して、電子証明書の有効性の確認を行わせる。暗号処理部99は、証明書検証部100により電子証明書の有効性が確認されると、鍵保存部98に登録される秘密鍵を使用して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。   When the document operation unit 30 requests any one of encryption / decryption / signature / authentication processing that requires a private key, the encryption processing unit 99 acquires an electronic certificate from the electronic certificate storage unit 97 and acquires it. The received electronic certificate is passed to the certificate verification unit 100 to check the validity of the electronic certificate. When the validity of the electronic certificate is confirmed by the certificate verification unit 100, the encryption processing unit 99 uses the private key registered in the key storage unit 98 to perform the encryption / decryption requested by the document operation unit 30. / Signature / authentication process is executed.

証明書検証部100は、暗号処理部99から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部100が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。   Upon receiving the electronic certificate from the cryptographic processing unit 99, the certificate verification unit 100 checks the validity of the received electronic certificate. The process of checking the validity of the electronic certificate performed by the certificate verification unit 100 is a process of checking the expiration date of the electronic certificate, a process of displaying the contents of the electronic certificate to the user, or a preset process. This is performed by a process for confirming whether the contents of the electronic certificate match the conditions.

認証局モジュール110内のSharedSecret保存部111は、SharedSecret保存部91に記憶されるSharedSecretと同じSharedSecretを記憶する。   The SharedSecret storage unit 111 in the certificate authority module 110 stores the same SharedSecret as the SharedSecret stored in the SharedSecret storage unit 91.

SharedSecret処理部112は、暗号データ生成部113から渡された暗号データのハッシュ値をSharedSecretを使用して暗号化することで署名を生成し、渡された暗号データに生成した署名を付加する。 そして、SharedSecret処理部は署名を付加した暗号データを秘密鍵制御モジュール90に送信する。   The SharedSecret processing unit 112 generates a signature by encrypting the hash value of the encrypted data passed from the encrypted data generating unit 113 using SharedSecret, and adds the generated signature to the passed encrypted data. Then, the SharedSecret processing unit transmits the encrypted data with the signature added to the secret key control module 90.

暗号データ生成部113は、秘密鍵制御モジュール90から暗号キーを受信し、証明書生成部114と鍵生成部115で生成された電子証明書と秘密鍵とを暗号キーで暗号化して暗号データを生成する。 そして、生成した暗号データをSharedSecret処理部112に渡す。   The encryption data generation unit 113 receives the encryption key from the secret key control module 90, encrypts the electronic certificate and the secret key generated by the certificate generation unit 114 and the key generation unit 115 with the encryption key, and stores the encryption data. Generate. Then, the generated encrypted data is passed to the shared secret processing unit 112.

証明書生成部114は、暗号データ生成部113から渡された公開鍵より電子証明書を生成する。   The certificate generation unit 114 generates an electronic certificate from the public key passed from the encrypted data generation unit 113.

鍵生成部115は、公開鍵と秘密鍵のペアを生成する。   The key generation unit 115 generates a public key / private key pair.

次に、PC6内の秘密鍵制御モジュール90に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図10、図11を参照して説明を行う。   Next, processing for registering a private key and a unique electronic certificate for the private key in the private key control module 90 in the PC 6 will be described with reference to FIGS.

図10、図11は、秘密鍵制御モジュール90に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について示したフローチャートである。   FIGS. 10 and 11 are flowcharts showing processing for registering a private key and a digital certificate unique to the private key in the private key control module 90.

まず、SharedSecret登録部80に登録されるSharedSecretが、SharedSecret保存部91に登録される処理が行われる(ステップ1001)。 SharedSecret保存部91には、1つのSharedSecretしか登録されない。   First, the processing for registering the SharedSecret registered in the SharedSecret registration unit 80 in the SharedSecret storage unit 91 is performed (step 1001). Only one shared secret is registered in the shared secret storage unit 91.

SharedSecret保存部91にSharedSecretが登録された後に、PC6では、認証局2への電子証明書を生成する要求をキーボードなどを通じてユーザから受け付けることができる。   After the SharedSecret is registered in the SharedSecret storage unit 91, the PC 6 can accept a request for generating an electronic certificate to the certificate authority 2 from the user through a keyboard or the like.

PC6のキーボードなどから、認証局2へ電子証明書を生成する要求が行われると、電子証明書登録部20がその要求を受け付けて、電子証明書登録部20が暗号キー生成部93に電子証明書登録要求を行う。   When a request for generating an electronic certificate is made from the keyboard of the PC 6 to the certificate authority 2, the electronic certificate registration unit 20 accepts the request, and the electronic certificate registration unit 20 sends an electronic certificate to the encryption key generation unit 93. Request certificate registration.

電子証明書登録要求は、暗号キー生成部93で受け付けられる(ステップ1002)。   The electronic certificate registration request is accepted by the encryption key generation unit 93 (step 1002).

電子証明書を登録する要求を受け付けた暗号キー生成部93は、SharedSecret保存部91にSharedSecretが登録されていることを確認する(ステップ1003でYES)。 SharedSecretがSharedSecret保存部91に登録されていない場合は(ステップ1003でNO)、エラーとして処理は中断される(ステップ1022)。   The encryption key generation unit 93 that has received the request for registering the electronic certificate confirms that SharedSecret is registered in the SharedSecret storage unit 91 (YES in Step 1003). If SharedSecret is not registered in SharedSecret storage unit 91 (NO in step 1003), the process is interrupted as an error (step 1022).

SharedSecret保存部91にSharedSecretが登録されていることが確認されると(ステップ1003でYES)、暗号キー生成部93は、認証局モジュール110に送信する暗号キーを生成する(ステップ1004)。   When it is confirmed that SharedSecret is registered in the SharedSecret storage unit 91 (YES in Step 1003), the encryption key generation unit 93 generates an encryption key to be transmitted to the certificate authority module 110 (Step 1004).

生成された暗号キーは暗号キー保存部92に登録され(ステップ1005)、また、生成された暗号キーは、暗号キー生成部93より認証局モジュール50に送信される(ステップ1006)。   The generated encryption key is registered in the encryption key storage unit 92 (step 1005), and the generated encryption key is transmitted from the encryption key generation unit 93 to the certificate authority module 50 (step 1006).

認証局モジュール50に送信された暗号キーは、暗号データ生成部113で受信される(ステップ1007)。   The encryption key transmitted to the certificate authority module 50 is received by the encryption data generation unit 113 (step 1007).

暗号キーを受信した暗号データ生成部113は、鍵生成部115に公開鍵と秘密鍵のペアを生成させる。   The encryption data generation unit 113 that has received the encryption key causes the key generation unit 115 to generate a public key / private key pair.

鍵生成部115は、公開鍵と秘密鍵のペアを生成して(ステップ1008)、暗号データ生成部113に生成した公開鍵と秘密鍵のペアを渡す。   The key generation unit 115 generates a public key / private key pair (step 1008), and passes the generated public key / private key pair to the encrypted data generation unit 113.

そして、暗号データ生成部113は、渡された公開鍵を証明書生成部114に渡して、電子証明書を生成させる。   Then, the encrypted data generation unit 113 passes the passed public key to the certificate generation unit 114 to generate an electronic certificate.

証明書生成部114は、渡された公開鍵から電子証明書を生成する(ステップ1009)。   The certificate generation unit 114 generates an electronic certificate from the passed public key (step 1009).

生成された電子証明書は、証明書生成部114から暗号データ生成部113に渡される。   The generated electronic certificate is transferred from the certificate generation unit 114 to the encrypted data generation unit 113.

暗号データ生成部113では、証明書生成部114から渡された電子証明書と、鍵生成部115から渡された秘密鍵(証明書生成部114から渡される電子証明書の公開鍵に対応)とを、秘密鍵制御モジュール90より送信された暗号キーによって暗号化し、1つの暗号データを生成する(ステップ1010)。   In the encrypted data generation unit 113, the electronic certificate passed from the certificate generation unit 114, the private key passed from the key generation unit 115 (corresponding to the public key of the electronic certificate passed from the certificate generation unit 114), Is encrypted with the encryption key transmitted from the secret key control module 90 to generate one encrypted data (step 1010).

暗号データ生成部113で生成された1つの暗号データは、暗号データ生成部113からSharedSecret処理部112に送られる。 SharedSecret処理部112では、SharedSecret保存部111からSharedSecretを取得して(ステップ1011)、暗号データ生成部113から送られた1つの暗号データに対して、取得したSharedSecretによる署名を付加する(ステップ1012)。 SharedSecretによる署名は、暗号データ生成部113から送られた1つの暗号データのハッシュ値がSharedSecretにより暗号化されて生成される。   One piece of encrypted data generated by the encrypted data generation unit 113 is sent from the encrypted data generation unit 113 to the SharedSecret processing unit 112. The SharedSecret processing unit 112 acquires the SharedSecret from the SharedSecret storage unit 111 (Step 1011), and adds the signature by the acquired SharedSecret to one encrypted data transmitted from the encrypted data generation unit 113 (Step 1012). . The signature by SharedSecret is generated by encrypting the hash value of one piece of encrypted data sent from the encrypted data generation unit 113 using SharedSecret.

そして、SharedSecret処理部112は、SharedSecretによる署名が付加された暗号データを秘密鍵制御モジュール90に送信する(ステップ1013)。   Then, the SharedSecret processing unit 112 transmits the encrypted data with the SharedSecret signature added to the secret key control module 90 (Step 1013).

認証局モジュール110から送信された暗号データは、秘密鍵制御モジュール90のSharedSecret検証部94で受信される(ステップ1014)。 SharedSecret検証部94は、SharedSecret保存部91からSharedSecretを取得して(ステップ1015)、取得したSharedSecretを使用して認証局モジュール110から受信した暗号データの署名検証を行う。   The encrypted data transmitted from the certificate authority module 110 is received by the shared secret verification unit 94 of the secret key control module 90 (step 1014). The SharedSecret verification unit 94 acquires the SharedSecret from the SharedSecret storage unit 91 (Step 1015), and verifies the signature of the encrypted data received from the certificate authority module 110 using the acquired SharedSecret.

署名の検証は、署名がSharedSecretで復号されることによってSharedSecretを共有している認証局2から送信されたと確認され、復号されたデータが署名が付加された暗号データから得られるハッシュ値と同じであることによって送信された暗号データが改ざんされていないことが確認される。   The verification of the signature is the same as the hash value obtained from the encrypted data to which the signature is added by confirming that the signature is transmitted from the certificate authority 2 sharing the shared secret by decrypting the shared secret. As a result, it is confirmed that the transmitted encrypted data has not been tampered with.

署名検証に関しては、署名がSharedSecretで復号されることにより得られるハッシュ値と、暗号データから得られるハッシュ値とが等しい場合に、署名が有効とされる。   Regarding signature verification, a signature is validated when the hash value obtained by decrypting the signature with SharedSecret is equal to the hash value obtained from the encrypted data.

SharedSecret検証部94が署名検証を行った結果、署名が無効であった場合には(ステップ1016でNO)、エラーとして処理は中断される(ステップ1022)。   As a result of the signature verification by the SharedSecret verification unit 94, if the signature is invalid (NO in step 1016), the process is interrupted as an error (step 1022).

また、SharedSecret検証部94が署名検証を行った結果、署名が有効であった場合には(ステップ1016でYES)、SharedSecret検証部94は、認証局モジュール110より受信した暗号データから署名を削除した暗号データを、暗号データ復号部95に渡す。   If the signature is valid as a result of the signature verification by the SharedSecret verification unit 94 (YES in Step 1016), the SharedSecret verification unit 94 deletes the signature from the encrypted data received from the certificate authority module 110. The encrypted data is passed to the encrypted data decrypting unit 95.

暗号データ復号部95は、暗号キー保存部92より暗号キーを取得して、SharedSecret検証部94から渡された暗号データの復号を、取得した暗号キーを用いて行う(ステップ1017)。   The encryption data decryption unit 95 acquires the encryption key from the encryption key storage unit 92, and performs decryption of the encryption data delivered from the Shared Secret verification unit 94 using the acquired encryption key (step 1017).

暗号データ復号部95は、暗号データの復号によって、電子証明書と秘密鍵を取得する。 そして、暗号データ復号部95は、復号によって取得した秘密鍵を鍵保存部98に渡す。   The encrypted data decrypting unit 95 acquires an electronic certificate and a private key by decrypting the encrypted data. Then, the encrypted data decryption unit 95 passes the secret key acquired by decryption to the key storage unit 98.

秘密鍵が渡された鍵保存部98で既に秘密鍵が登録されていた場合には(ステップ1018でNO)、エラーとして処理は中断される(ステップ1022)。 秘密鍵が渡された鍵保存部97で、未だ秘密鍵が登録されていない場合には(ステップ1018でYES)、鍵保存部97は、渡された秘密鍵を登録する(ステップ1019)。   If the secret key has already been registered in the key storage unit 98 to which the secret key has been passed (NO in step 1018), the process is interrupted as an error (step 1022). If the secret key is not yet registered in the key storage unit 97 to which the secret key has been passed (YES in step 1018), the key storage unit 97 registers the passed secret key (step 1019).

鍵保存部98に登録される秘密鍵は、1つだけである。 ここで、一旦、鍵保存部98に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部98には常に1つの秘密鍵が登録された状態となる。   Only one secret key is registered in the key storage unit 98. Here, once the secret key is registered in the key storage unit 98, no new secret key is registered, and one secret key is always registered in the key storage unit 98.

また、暗号データ復号部95は、暗号データの復号によって取得した電子証明書を証明書確認部96に渡す。 証明書確認部96は、暗号データ復号部95より電子証明書を渡されると、鍵保存部98から秘密鍵を取得し、電子証明書の公開鍵が取得した秘密鍵と対応されていることの確認を行う。 その際、証明書確認部96が鍵保存部98から秘密鍵を取得できなかった場合や、電子証明書の公開鍵と秘密鍵とが対応されていなかった場合には、電子証明書の公開鍵の確認ができなかったものとして(ステップ1020でNO)、エラーとして処理は中断される(ステップ1022)。   The encrypted data decryption unit 95 passes the electronic certificate acquired by decrypting the encrypted data to the certificate confirmation unit 96. When the certificate confirmation unit 96 receives the electronic certificate from the encrypted data decryption unit 95, the certificate confirmation unit 96 acquires the private key from the key storage unit 98, and the public key of the electronic certificate corresponds to the acquired private key. Check. At this time, if the certificate confirmation unit 96 cannot obtain the private key from the key storage unit 98, or if the public key and the private key of the electronic certificate are not associated, the public key of the electronic certificate Is not confirmed (NO in step 1020), the process is interrupted as an error (step 1022).

証明書確認部96により、電子証明書の公開鍵と秘密鍵との対応の確認が行われた場合には(ステップ1020でYES)、確認された電子証明書が、証明書確認部96から電子証明書保存部97に渡され、電子証明書保存部97で登録される(ステップ1021)。 なお、電子証明書保存部97に登録される電子証明書は1つだけである。   If the certificate confirmation unit 96 confirms the correspondence between the public key and the private key of the electronic certificate (YES in step 1020), the confirmed electronic certificate is sent from the certificate confirmation unit 96 to the electronic certificate. The certificate is stored in the certificate storage unit 97 and registered in the electronic certificate storage unit 97 (step 1021). Note that only one electronic certificate is registered in the electronic certificate storage unit 97.

このようにして、PC6に、秘密鍵とその秘密鍵に一意な電子証明書との登録が完了する。 秘密鍵が必要なデータの処理が要求される場合には、登録された電子証明書の有効性の確認が行われた後に秘密鍵の使用が行われるように、秘密鍵制御モジュール90は制御される。   In this way, registration of the private key and the electronic certificate unique to the private key is completed in the PC 6. When processing of data requiring a private key is requested, the private key control module 90 is controlled so that the private key is used after the validity of the registered electronic certificate is confirmed. The

次に、PC6で秘密鍵が必要なデータの暗号等の要求が行われる処理についての説明は、実施例1において、図5を参照して説明した内容と同じであるため詳細な説明は省略する。 但し、実施例1における記述において、PC4、秘密鍵制御モジュール40、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49は、それぞれ、PC6、秘密鍵制御モジュール90、鍵保存部98、電子証明書保存部97、暗号処理部99、証明書検証部100に置き換えて説明されるものとする。   Next, the description of the processing for requesting encryption or the like of data requiring a secret key in the PC 6 is the same as that described with reference to FIG. . However, in the description in the first embodiment, the PC 4, the private key control module 40, the key storage unit 46, the electronic certificate storage unit 47, the encryption processing unit 48, and the certificate verification unit 49 are the PC 6, the private key control module 90, respectively. The key storage unit 98, the electronic certificate storage unit 97, the encryption processing unit 99, and the certificate verification unit 100 will be described.

なお、本実施例においても、実施例1で図6を参照して説明したように、秘密鍵制御モジュール90の機能をICカード602内にプログラムとして組み込んで、ICカード602による暗号/復号/署名/認証のいずれかの処理が行われるようにすることができる。 その際、図6に示す事業所1内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30を備えたPC6がPC4の代わりに配置され、PC6にはICカード読書き装置601が接続される。 そして、図6に示す認証局2内には、認証局モジュール110を備えるPC7がPC5の代わりに配置される。 そして、図6に示すICカード602には、秘密鍵制御モジュール90が秘密鍵制御モジュール40の代わりに備えられ、外部との情報の授受を行う図示しない通信インタフェースが存在して、その通信インタフェースが秘密鍵制御モジュール90と情報の授受を行う。   Also in this embodiment, as described with reference to FIG. 6 in the first embodiment, the function of the secret key control module 90 is incorporated as a program in the IC card 602, and the encryption / decryption / signature by the IC card 602 is obtained. Any processing of / authentication can be performed. At that time, in the office 1 shown in FIG. 6, a PC 6 having a Shared Secret registration unit 80, an electronic certificate registration unit 20, and a data processing unit 30 is arranged instead of the PC 4, and the PC 6 has an IC card read / write device. 601 is connected. In the certificate authority 2 shown in FIG. 6, a PC 7 including the certificate authority module 110 is arranged instead of the PC 5. The IC card 602 shown in FIG. 6 includes a secret key control module 90 instead of the secret key control module 40, and has a communication interface (not shown) for exchanging information with the outside. Information is exchanged with the secret key control module 90.

なお、秘密鍵制御システム100において、秘密鍵制御モジュール90に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図10、図11のフローチャートに相当)には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要はない。   In the secret key control system 100, when the secret key and the electronic certificate corresponding to the secret key are registered in the secret key control module 90 (corresponding to the flowcharts in FIGS. 10 and 11), the business office 1 PC 6 in the certificate authority 2 and PC 7 in the certificate authority 2 need to be in a connectable state. However, when a processing request is made by the data processing unit 30, the PC 6 in the office 1 and the PC 7 in the certificate authority 2 Need not be in a connectable state.

なお、ステップ1012では、暗号データ生成部113から送られた1つの暗号データに対してSharedSecretによる署名を付加するのではなくて、暗号データ生成部113から送られた1つの暗号データをSharedSecretによって暗号化するようにして、秘密鍵制御モジュール90に送信されるデータが生成されるようにしてもよい。 その際には、SharedSecretによって暗号化されたデータを受信した秘密鍵制御モジュール90は、ステップ1016において暗号データの署名検証を行わずに、認証局モジュール110から受信したデータをSharedSecretによって復号する処理を行う。 そして、SharedSecretによって復号できた場合には、ステップ1016でYESの処理へと進む。   In Step 1012, instead of adding a signature by SharedSecret to one encrypted data sent from the encrypted data generating unit 113, one encrypted data sent from the encrypted data generating unit 113 is encrypted by SharedSecret. The data to be transmitted to the secret key control module 90 may be generated. At that time, the secret key control module 90 that has received the data encrypted by SharedSecret performs a process of decrypting the data received from the certificate authority module 110 by SharedSecret without performing signature verification of the encrypted data in Step 1016. Do. If decryption is possible using SharedSecret, the process proceeds to YES in step 1016.

本実施例では、事業所1内で使用されるPC6内にSharedSecret登録部80、秘密鍵制御モジュール120などが備えられ、認証局2内で使用されるPC7内に認証局モジュール140が備えられる秘密鍵制御システム100について説明を行う(図1(c)を参照して説明した構成)。   In this embodiment, a shared secret registration unit 80, a secret key control module 120, and the like are provided in the PC 6 used in the office 1, and a certificate authority module 140 is provided in the PC 7 used in the certificate authority 2. The key control system 100 will be described (configuration described with reference to FIG. 1C).

まず、秘密鍵制御モジュール120と認証局モジュール140などの構成について図12を参照して説明を行う。   First, the configuration of the secret key control module 120 and the certificate authority module 140 will be described with reference to FIG.

図12は、秘密鍵制御モジュール120と認証局モジュール140などの構成を示したブロック図である。   FIG. 12 is a block diagram showing the configuration of the secret key control module 120, the certificate authority module 140, and the like.

事業所1内のPC6内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール120が備えられ、認証局2内のPC7内には、認証局モジュール140が備えられる。   A shared secret registration unit 80, an electronic certificate registration unit 20, a data processing unit 30, and a secret key control module 120 are provided in the PC 6 in the business office 1, and a certificate authority module 140 is provided in the PC 7 in the certificate authority 2. Is provided.

秘密鍵制御モジュール120は、SharedSecret保存部121、鍵生成部122、証明書要求生成部123、証明書確認部124、SharedSecret検証部125、電子証明書保存部126、鍵保存部127、暗号処理部128、証明書検証部129を備える。   The private key control module 120 includes a shared secret storage unit 121, a key generation unit 122, a certificate request generation unit 123, a certificate confirmation unit 124, a shared secret verification unit 125, an electronic certificate storage unit 126, a key storage unit 127, and an encryption processing unit. 128 and a certificate verification unit 129.

認証局モジュール140は、証明書生成部141、SharedSecret処理部142、SharedSecret管理部143を備える。   The certificate authority module 140 includes a certificate generation unit 141, a shared secret processing unit 142, and a shared secret management unit 143.

SharedSecret保存部121は、SharedSecret登録部80より受け付けたSharedSecretを記憶保存することにより、SharedSecretの登録を行う。 SharedSecret保存部121に保存されるSharedSecretは、認証局モジュール140内のSharedSecret管理部143に記憶されるSharedSecretと同じである。 そして、SharedSecret保存部121は、1つのSharedSecretしか登録しない。 一旦、SharedSecret保存部121にSharedSecretが登録されると、SharedSecret保存部121には常に1つだけのSharedSecretが登録された状態となる。   The SharedSecret storage unit 121 registers SharedSecret by storing and storing the SharedSecret received from the SharedSecret registration unit 80. The SharedSecret stored in the SharedSecret storage unit 121 is the same as the SharedSecret stored in the SharedSecret management unit 143 in the certificate authority module 140. Then, the SharedSecret storage unit 121 registers only one SharedSecret. Once SharedSecret is registered in the SharedSecret storage unit 121, only one SharedSecret is always registered in the SharedSecret storage unit 121.

鍵生成部122は、公開鍵と秘密鍵のペアを生成する。   The key generation unit 122 generates a public key / private key pair.

証明書要求生成部123は、電子証明書登録受付部20よりユーザからの電子証明書登録要求を受け付け、SharedSecret保存部121にSharedSecretが登録されていることを確認し、鍵生成部122に公開鍵と秘密鍵のペアを生成させる。 そして、証明書要求生成部123は、鍵生成部122が生成した公開鍵を使用して、認証局モジュール70に送信する電子証明書要求を生成する。 証明書要求生成部123によって生成される電子証明書要求には、鍵生成部122が生成した公開鍵が含まれる。 証明書要求生成部123は、電子証明書要求を生成して、生成した電子証明書要求を認証局モジュール140に送信する。   The certificate request generation unit 123 receives an electronic certificate registration request from the user from the electronic certificate registration reception unit 20, confirms that SharedSecret is registered in the SharedSecret storage unit 121, and stores the public key in the key generation unit 122. And a secret key pair. Then, the certificate request generation unit 123 generates an electronic certificate request to be transmitted to the certificate authority module 70 using the public key generated by the key generation unit 122. The electronic certificate request generated by the certificate request generation unit 123 includes the public key generated by the key generation unit 122. The certificate request generation unit 123 generates an electronic certificate request and transmits the generated electronic certificate request to the certificate authority module 140.

SharedSecret検証部125は、SharedSecret保存部121からSharedSecretを入手して、認証局モジュール140より受信した電子証明書に付加される署名の検証を行う。 そして、SharedSecret検証部125は、認証局モジュール140から受信した電子証明書からSharedSecret署名を削除した電子証明書を、証明書確認部124に渡す。   The SharedSecret verification unit 125 acquires SharedSecret from the SharedSecret storage unit 121 and verifies the signature added to the electronic certificate received from the certificate authority module 140. Then, the SharedSecret verification unit 125 passes the electronic certificate obtained by deleting the SharedSecret signature from the electronic certificate received from the certificate authority module 140 to the certificate confirmation unit 124.

証明書確認部124は、SharedSecret検証部125から電子証明書が渡されると、鍵保存部127から秘密鍵を取得し、渡された電子証明書の公開鍵が、取得した秘密鍵と対応されていることを確認する。 そして、証明書確認部124は、秘密鍵との対応が確認された電子証明書を電子証明書保存部126に渡す。   When the electronic certificate is delivered from the SharedSecret verification unit 125, the certificate confirmation unit 124 obtains a private key from the key storage unit 127, and the public key of the delivered electronic certificate is associated with the obtained private key. Make sure. Then, the certificate confirmation unit 124 passes the electronic certificate whose correspondence with the private key has been confirmed to the electronic certificate storage unit 126.

電子証明書保存部126は、証明書確認部124から渡された電子証明書を記憶保存することにより、電子証明書の登録を行う。   The electronic certificate storage unit 126 registers the electronic certificate by storing and storing the electronic certificate passed from the certificate confirmation unit 124.

鍵保存部127は、証明書要求生成部123が生成した秘密鍵を証明書要求生成部123から渡されてその秘密鍵を記憶保存することにより、秘密鍵の登録を行う。 鍵保存部127に登録される秘密鍵は1つだけであり、一旦、鍵保存部127に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部127には常に1つだけの秘密鍵が登録された状態となる。 そして、鍵保存部127は、証明書確認部124より秘密鍵を要求された場合や、暗号処理部128より秘密鍵を要求された場合に、鍵保存部127に登録される秘密鍵を、証明書確認部124や暗号処理部128に渡す。   The key storage unit 127 registers the private key by passing the private key generated by the certificate request generation unit 123 from the certificate request generation unit 123 and storing and storing the private key. There is only one secret key registered in the key storage unit 127. Once a secret key is registered in the key storage unit 127, no new secret key is registered, and one key is always stored in the key storage unit 127. Only the private key is registered. Then, the key storage unit 127 verifies the private key registered in the key storage unit 127 when the private key is requested from the certificate confirmation unit 124 or the private key is requested from the encryption processing unit 128. To the document confirmation unit 124 and the encryption processing unit 128.

暗号処理部128は、文書操作部30から秘密鍵を必要とする暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部126から電子証明書を取得し、取得した電子証明書を証明書検証部129に渡して、電子証明書の有効性の確認を行わせる。 暗号処理部128は、証明書検証部129により電子証明書の有効性が確認されると、鍵保存部127に登録される秘密鍵を鍵保存部127より入手して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。   When the document operation unit 30 requests any one of encryption / decryption / signature / authentication processing that requires a private key, the encryption processing unit 128 acquires an electronic certificate from the electronic certificate storage unit 126 and acquires the electronic certificate. The received electronic certificate is passed to the certificate verification unit 129 to check the validity of the electronic certificate. When the validity of the electronic certificate is confirmed by the certificate verification unit 129, the encryption processing unit 128 obtains the private key registered in the key storage unit 127 from the key storage unit 127 and requests it from the document operation unit 30. One of the encryption / decryption / signature / authentication processes is executed.

証明書検証部129は、暗号処理部128から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部129が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。   Upon receiving the electronic certificate from the encryption processing unit 128, the certificate verification unit 129 confirms the validity of the received electronic certificate. The process of checking the validity of the electronic certificate performed by the certificate verification unit 129 is a process of checking the validity period of the electronic certificate, a process of displaying the contents of the electronic certificate to the user, or a preset process. This is performed by a process for confirming whether the contents of the electronic certificate match the conditions.

認証局モジュール140が備える証明書生成部141は、秘密鍵制御モジュール120から受信した電子証明書生成要求より、電子証明書生成要求に含まれる公開鍵を使用して、電子証明書を生成する。 また、証明書生成部141は、生成した電子証明書をSharedSecret処理部142に渡す。   The certificate generation unit 141 included in the certificate authority module 140 generates an electronic certificate from the electronic certificate generation request received from the private key control module 120 using the public key included in the electronic certificate generation request. In addition, the certificate generation unit 141 passes the generated electronic certificate to the SharedSecret processing unit 142.

SharedSecret処理部142は、証明書生成部141から渡された電子証明書のハッシュ値をSharedSecretを使用して暗号化することで署名を生成し、生成した署名を電子証明書に付加する。   The SharedSecret processing unit 142 generates a signature by encrypting the hash value of the electronic certificate passed from the certificate generation unit 141 using SharedSecret, and adds the generated signature to the electronic certificate.

SharedSecret管理部143は、事業所1内のPC6のSharedSecret登録部80に記憶されるSharedSecretと同じSharedSecretを記憶する。   The SharedSecret management unit 143 stores the same SharedSecret as the SharedSecret stored in the SharedSecret registration unit 80 of the PC 6 in the office 1.

次に、PC6内の秘密鍵制御モジュール120に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図13、図14を参照して説明を行う。   Next, processing for registering a private key and a unique electronic certificate in the private key in the private key control module 120 in the PC 6 will be described with reference to FIGS.

図13、図14は、秘密鍵制御モジュール120に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について示したフローチャートである。   FIGS. 13 and 14 are flowcharts showing processing for registering a secret key and a digital certificate unique to the secret key in the secret key control module 120.

まず、SharedSecret登録部80に登録されるSharedSecretが、SharedSecret保存部121に登録される処理が行われる(ステップ1301)。 SharedSecret保存部121には、1つのSharedSecretだけが登録される。   First, processing is performed in which the SharedSecret registered in the SharedSecret registration unit 80 is registered in the SharedSecret storage unit 121 (Step 1301). Only one shared secret is registered in the shared secret storage unit 121.

SharedSecret保存部121にSharedSecretが登録されると、電子証明書登録部20は、電子証明書を生成する要求を、ユーザが操作するPC6のキーボードなどから受け付けることが可能となる。   When SharedSecret is registered in the SharedSecret storage unit 121, the electronic certificate registration unit 20 can receive a request for generating an electronic certificate from the keyboard of the PC 6 operated by the user.

要求を受け付けた電子証明書登録部20は、証明書要求生成部123に電子証明書登録要求を渡す。 証明書要求生成部123は、電子証明書要求受付部90より電子証明書登録要求を受け付ける(ステップ1302)。   Upon receiving the request, the electronic certificate registration unit 20 passes the electronic certificate registration request to the certificate request generation unit 123. The certificate request generation unit 123 receives an electronic certificate registration request from the electronic certificate request reception unit 90 (step 1302).

証明書要求生成部123は、SharedSecret保存部121にSharedSecretが登録されていることを確認して(ステップ1303でYES)、鍵生成部122に公開鍵と秘密鍵のペアを生成させる。 SharedSecret保存部121にSharedSecretが登録されていなかった場合には、エラーとして処理は中断される(ステップ1317)。   The certificate request generation unit 123 confirms that SharedSecret is registered in the SharedSecret storage unit 121 (YES in Step 1303), and causes the key generation unit 122 to generate a public / private key pair. If SharedSecret is not registered in SharedSecret storage unit 121, the process is interrupted as an error (Step 1317).

鍵生成部122で公開鍵と秘密鍵のペアが生成されると(ステップ1304)、生成された公開鍵と秘密鍵のペアは、証明書要求生成部123に渡される。 証明書要求生成部123は、渡された秘密鍵を鍵保存部127に渡す。
秘密鍵が渡された鍵保存部127で、既に秘密鍵が登録されていた場合には(ステップ1305NO)、エラーとして処理は中断される(ステップ1317)。 秘密鍵が渡された鍵保存部127で未だ秘密鍵が登録されていない場合には(ステップ1305YES)、鍵保存部127は、渡された秘密鍵を登録する(ステップ1306)。 When the key generation unit 122 generates a public / private key pair (step 1304), the generated public / private key pair is passed to the certificate request generation unit 123. The certificate request generation unit 123 passes the passed secret key to the key storage unit 127.
When the secret key has already been registered in the key storage unit 127 to which the secret key has been passed (step 1305 NO), the process is interrupted as an error (step 1317). If the secret key is not yet registered in the key storage unit 127 to which the secret key has been passed (step 1305 YES), the key storage unit 127 registers the passed secret key (step 1306).

また、証明書要求生成部123は、渡された公開鍵から、認証局モジュール140に送る電子証明書要求を生成し、生成した電子証明書要求を認証局モジュール140に送信する(ステップ1307)。 送信される電子証明書要求には、公開鍵が含まれている。   In addition, the certificate request generation unit 123 generates an electronic certificate request to be sent to the certificate authority module 140 from the passed public key, and transmits the generated electronic certificate request to the certificate authority module 140 (step 1307). The transmitted electronic certificate request includes a public key.

認証局モジュール140に送信された電子証明書要求は、認証局モジュール140内の証明書生成部141で受信される。 証明書生成部141は、電子証明書要求を受信すると、受信した電子証明書要求に含まれる公開鍵を使用して、電子証明書を生成する(ステップ1308)。 証明書生成部141で生成された電子証明書は、SharedSecret処理部142に渡される。   The electronic certificate request transmitted to the certificate authority module 140 is received by the certificate generation unit 141 in the certificate authority module 140. Upon receiving the electronic certificate request, the certificate generation unit 141 generates an electronic certificate using the public key included in the received electronic certificate request (step 1308). The electronic certificate generated by the certificate generation unit 141 is passed to the SharedSecret processing unit 142.

SharedSecret処理部142は、電子証明書を受信して、SharedSecret管理部143よりSharedSecretを取得し(ステップ1309)、取得したSharedSecretを使用して電子証明書から署名を生成し、電子証明書に生成した署名を付加する(ステップ1310)。   The SharedSecret processing unit 142 receives the electronic certificate, acquires the SharedSecret from the SharedSecret management unit 143 (Step 1309), generates a signature from the electronic certificate using the acquired SharedSecret, and generates the electronic certificate A signature is added (step 1310).

SharedSecret処理部142で署名が付加された電子証明書は、SharedSecret処理部142から秘密鍵制御モジュール120に送信される(ステップ1311)。   The electronic certificate to which the signature is added by the SharedSecret processing unit 142 is transmitted from the SharedSecret processing unit 142 to the private key control module 120 (Step 1311).

秘密鍵制御モジュール120内のSharedSecret検証部125は、認証局モジュール140内のSharedSecret処理部142から送られた署名付の電子証明書を受信する(ステップ1312)。 そして、SharedSecret検証部125は、SharedSecret保存部121に登録されるSharedSecretを取得し(ステップ1313)、受信した電子証明書に付加された署名の検証を、取得したSharedSecretを用いて行う。   The Shared Secret verification unit 125 in the private key control module 120 receives the digital certificate with a signature sent from the Shared Secret processing unit 142 in the certificate authority module 140 (Step 1312). The SharedSecret verification unit 125 acquires the SharedSecret registered in the SharedSecret storage unit 121 (Step 1313), and verifies the signature added to the received electronic certificate using the acquired SharedSecret.

署名の検証は、SharedSecretにより署名が復号されることによってSharedSecretを共有している認証局2から送信されたと確認され、復号されたデータが電子証明書から得られるハッシュ値と同じであることによって送信された電子証明書が改ざんされていないことが確認される。   The verification of the signature is confirmed by the fact that the signature is decrypted by SharedSecret, and it is confirmed that the signature is transmitted from the certificate authority 2 sharing the SharedSecret, and is transmitted when the decrypted data is the same as the hash value obtained from the electronic certificate. It has been confirmed that the digital certificate has not been tampered with.

署名検証に関しては、署名がSharedSecretで復号されることにより得られるハッシュ値と、電子証明書から得られるハッシュ値とが等しい場合に、署名が有効とされる。   Regarding signature verification, a signature is validated when the hash value obtained by decrypting the signature with SharedSecret is equal to the hash value obtained from the electronic certificate.

署名が検証される際に、SharedSecret保存部121よりSharedSecretが取得されない場合や、検証の結果復号されたデータがハッシュ値と同じであることが確認されなかった場合には、署名が有効でなかったものとして(ステップ1314でNO)、エラーとして処理は中断される(ステップ1317)。   When the signature is verified, if the SharedSecret is not obtained from the SharedSecret storage unit 121, or if it is not confirmed that the decrypted data is the same as the hash value, the signature is not valid. As a result (NO in step 1314), the process is interrupted as an error (step 1317).

また、署名の検証の結果、署名が有効であったら(ステップ1314でYES)、SharedSecret検証部125は、署名を削除した電子証明書を、証明書確認部124に渡す。 証明書確認部124は、電子証明書が渡されると、鍵保存部127から秘密鍵を取得する。 そして、証明書確認部124は、取得した秘密鍵とSharedSecret検証部125より渡された電子証明書の公開鍵とが対応することを確認する。 証明書確認部124による電子証明書の公開鍵の確認が行われる際に、鍵保存部127から秘密鍵が取得できなかった場合や、電子証明書の公開鍵が秘密鍵と対応することが確認されなかった場合には、電子証明書の公開鍵の確認がされなかったものとして(ステップ1315でNO)、エラーとして処理は中断される(ステップ1317)。   If the signature is valid as a result of the signature verification (YES in step 1314), the SharedSecret verification unit 125 passes the electronic certificate from which the signature has been deleted to the certificate confirmation unit 124. When the electronic certificate is passed, the certificate confirmation unit 124 acquires the private key from the key storage unit 127. Then, the certificate confirmation unit 124 confirms that the acquired private key and the public key of the electronic certificate passed from the SharedSecret verification unit 125 correspond to each other. When the public key of the electronic certificate is confirmed by the certificate confirmation unit 124, it is confirmed that the private key cannot be obtained from the key storage unit 127 or that the public key of the electronic certificate corresponds to the private key. If not, it is determined that the public key of the electronic certificate has not been confirmed (NO in step 1315), and the process is interrupted as an error (step 1317).

認証局モジュール140から送信された署名付電子証明書の署名の有効性が確認され(ステップ1314でYES)、電子証明書の公開鍵の確認が行われると(ステップ1315でYES)、証明書確認部124は、両方の確認が行われた電子証明書を電子証明書保存部126に渡して、登録させる。   When the validity of the signature of the signed electronic certificate transmitted from the certificate authority module 140 is confirmed (YES in step 1314), and the public key of the electronic certificate is confirmed (YES in step 1315), the certificate confirmation The unit 124 passes the electronic certificate for which both confirmations have been made to the electronic certificate storage unit 126 for registration.

電子証明書が渡された電子証明書保存部126は、その電子証明書を登録する(ステップ1316)。 ここで、電子証明書保存部126に登録される電子証明書は1つだけであり、一旦、電子証明書保存部126に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部126には常に1つだけの電子証明書が登録された状態となる。   The electronic certificate storage unit 126 to which the electronic certificate has been passed registers the electronic certificate (step 1316). Here, only one electronic certificate is registered in the electronic certificate storage unit 126. Once an electronic certificate is registered in the electronic certificate storage unit 126, no new electronic certificate is registered. In the electronic certificate storage unit 126, only one electronic certificate is always registered.

次に、PC6で秘密鍵が必要なデータの暗号化等の要求が行われる処理については、実施例1において、図5を参照して説明した内容と同じであるため詳細な説明は省略する。 但し、実施例1の記述において、PC4、秘密鍵制御モジュール40、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49は、それぞれ、PC6、秘密鍵制御モジュール120、鍵保存部127、電子証明書保存部126、暗号処理部128、証明書検証部129に置き換えて説明されるものとする。   Next, the processing for requesting encryption of data that requires a secret key in the PC 6 is the same as that described with reference to FIG. However, in the description of the first embodiment, the PC 4, the private key control module 40, the key storage unit 46, the electronic certificate storage unit 47, the encryption processing unit 48, and the certificate verification unit 49 are the PC 6, the private key control module 120, respectively. The key storage unit 127, the electronic certificate storage unit 126, the encryption processing unit 128, and the certificate verification unit 129 will be described.

なお、本実施例においても、実施例1で図6を参照して説明したように、PC内の秘密鍵制御モジュールである秘密鍵制御モジュール120の機能をICカード602内にプログラムとして組み込んで、ICカード602で秘密鍵が必要な暗号/復号/署名/認証のいずれかの処理が行われるようにすることができる。 その際、図6に示す事業所1内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30を備えたPC6がPC4の代わりに配置され、PC6にはICカード読書き装置601が接続される。 そして、図6に示す認証局2内には、認証局モジュール140を備えるPC7がPC5の代わりに配置される。 そして、図6に示すICカード602には、秘密鍵制御モジュール120が秘密鍵制御モジュール40の代わりに備えられ、外部との情報の授受を行う図示しない通信インタフェースが存在して、その通信インタフェースが秘密鍵制御モジュール120と情報の授受を行う。   In the present embodiment, as described with reference to FIG. 6 in the first embodiment, the function of the secret key control module 120 that is a secret key control module in the PC is incorporated in the IC card 602 as a program, Any processing of encryption / decryption / signature / authentication that requires a secret key can be performed in the IC card 602. At that time, in the office 1 shown in FIG. 6, a PC 6 having a Shared Secret registration unit 80, an electronic certificate registration unit 20, and a data processing unit 30 is arranged instead of the PC 4, and the PC 6 has an IC card read / write device. 601 is connected. In the certificate authority 2 shown in FIG. 6, a PC 7 including the certificate authority module 140 is arranged instead of the PC 5. The IC card 602 shown in FIG. 6 includes a secret key control module 120 instead of the secret key control module 40, and has a communication interface (not shown) for exchanging information with the outside. Information is exchanged with the secret key control module 120.

なお、秘密鍵制御システム100において、秘密鍵制御モジュール120に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図13、図14のフローチャートに相当)には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要はない。   In the private key control system 100, when the private key and the electronic certificate corresponding to the private key are registered in the private key control module 120 (corresponding to the flowcharts in FIGS. 13 and 14), the business office 1 PC 6 in the certificate authority 2 and PC 7 in the certificate authority 2 need to be in a connectable state. However, when a processing request is made by the data processing unit 30, the PC 6 in the office 1 and the PC 7 in the certificate authority 2 Need not be in a connectable state.

なお、ステップ1310では、電子証明書にSharedSecretによる署名が付加されて秘密鍵制御モジュール120に送信されるデータが生成されたが、そうではなくて、電子証明書がSharedSecretによって暗号化されて秘密鍵制御モジュール120に送信されるデータが生成されても良い。 その際には、SharedSecretによって暗号化されたデータを受信した秘密鍵制御モジュール120は、ステップ1314において電子証明書に付加された署名の検証を行わずに、認証局モジュール140から受信したデータをSharedSecretで復号する処理を行う。 そして、SharedSecretによって復号できた場合には、ステップ1314でYESの処理へと進む。   In step 1310, a signature by SharedSecret is added to the electronic certificate and data to be transmitted to the private key control module 120 is generated. Instead, the electronic certificate is encrypted by SharedSecret and the private key is encrypted. Data to be transmitted to the control module 120 may be generated. In that case, the private key control module 120 that has received the data encrypted by SharedSecret does not verify the signature added to the electronic certificate in Step 1314, and uses the data received from the Certificate Authority module 140 as SharedSecret. The decryption process is performed. If decryption is possible using SharedSecret, the process proceeds to YES in step 1314.

この発明は、秘密鍵制御装置、秘密鍵制御システムおよび秘密鍵制御プログラムにおいて利用可能である。   The present invention can be used in a secret key control device, a secret key control system, and a secret key control program.

本発明に係わる秘密鍵制御プログラムをICカード、USB(Universal Serial Bus)メモリ、SD(Secure Digital memory card)カードなどに記憶させて秘密鍵制御装置として利用することも可能である。   The secret key control program according to the present invention can be stored in an IC card, USB (Universal Serial Bus) memory, SD (Secure Digital memory card) card or the like and used as a secret key control device.

秘密鍵制御システム100の構成について示した概略図。1 is a schematic diagram showing the configuration of a secret key control system 100. FIG. 秘密鍵制御モジュール40、認証局モジュール50などの構成を示すブロック図。FIG. 2 is a block diagram showing the configuration of a secret key control module 40, a certificate authority module 50, and the like. 秘密鍵と電子証明書の登録が行われる処理を示したフローチャート。The flowchart which showed the process in which registration of a private key and an electronic certificate is performed. 秘密鍵と電子証明書の登録が行われる処理を示したフローチャート。The flowchart which showed the process in which registration of a private key and an electronic certificate is performed. 秘密鍵の使用時に行われる処理を示したフローチャート。The flowchart which showed the process performed at the time of use of a secret key. 秘密鍵制御システム100の応用例について示した図。The figure shown about the application example of the secret key control system. 秘密鍵制御モジュール60、認証局モジュール70などの構成を示すブロック図。FIG. 3 is a block diagram showing the configuration of a secret key control module 60, a certificate authority module 70, and the like. 秘密鍵と電子証明書の登録が行われる処理を示したフローチャート。The flowchart which showed the process in which registration of a private key and an electronic certificate is performed. 秘密鍵制御モジュール90、認証局モジュール110などの構成を示すブロック図。FIG. 3 is a block diagram showing the configuration of a secret key control module 90, a certificate authority module 110, and the like. 秘密鍵と電子証明書の登録が行われる処理を示したフローチャート。The flowchart which showed the process in which registration of a private key and an electronic certificate is performed. 秘密鍵と電子証明書の登録が行われる処理を示したフローチャート。The flowchart which showed the process in which registration of a private key and an electronic certificate is performed. 秘密鍵制御モジュール120、認証局モジュール140などの構成を示すブロック図。FIG. 3 is a block diagram showing the configuration of a secret key control module 120, a certificate authority module 140, and the like. 秘密鍵と電子証明書の登録が行われる処理を示したフローチャート。The flowchart which showed the process in which registration of a private key and an electronic certificate is performed. 秘密鍵と電子証明書の登録が行われる処理を示したフローチャート。The flowchart which showed the process in which registration of a private key and an electronic certificate is performed.

符号の説明Explanation of symbols

1 事業所
2 認証局
3 通信回線
4、6 PC(事業所)
5、7 PC(認証局)
10 認証局証明書登録部
20 電子証明書登録部
30 データ処理部
40、60、90、120 秘密鍵制御モジュール
50、70、110、140 認証局モジュール
80 SharedSecret登録部
601 ICカード読書き装置
602 ICカード
603 認証装置 1 Office 2 Certification Authority 3 Communication Line 4, 6 PC (Office)
5, 7 PC (Certificate Authority)
DESCRIPTION OF SYMBOLS 10 Certificate authority certificate registration part 20 Electronic certificate registration part 30 Data processing part 40, 60, 90, 120 Private key control module 50, 70, 110, 140 Certificate authority module 80 SharedSecret registration part 601 IC card reader / writer 602 IC Card 603 authentication device

Claims (9)

電子証明書を認証局より受信する受信手段と、
前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、
前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、
前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、
前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、
前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、
前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段と
を備える秘密鍵制御装置。 Receiving means for receiving an electronic certificate from a certificate authority;
Confirmation means for confirming whether the electronic certificate received by the receiving means is issued by a predetermined certificate authority;
Electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means;
Key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means;
Accepting means for accepting a predetermined processing request using the secret key;
Verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means;
When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. A secret key control device comprising: permission means. 前記認証局が保存する共有鍵と同じ共有鍵を保存する共有鍵保存手段
を更に備え、
前記受信手段は、暗号化された電子証明書を含むデータを受信し、
前記確認手段は、前記受信手段で受信したデータが前記共有鍵によって復号できるかにより、当該電子証明書の認証局の確認を行う請求項1に記載の秘密鍵制御装置。 A shared key storing means for storing the same shared key as the shared key stored by the certificate authority,
The receiving means receives data including an encrypted electronic certificate,
The secret key control apparatus according to claim 1, wherein the confirmation unit confirms the certificate authority of the electronic certificate depending on whether the data received by the reception unit can be decrypted by the shared key. 前記認証局と同じ共有鍵を保存する共有鍵保存手段
を更に備え、
前記受信手段は、電子署名が付加された電子証明書を含むデータを受信し、
前記確認手段は、前記受信手段で受信した電子署名の前記共有鍵による検証結果より、前記電子証明書の認証局の確認を行う請求項1に記載の秘密鍵制御装置。 A shared key storing means for storing the same shared key as the certificate authority,
The receiving means receives data including an electronic certificate to which an electronic signature is added,
The private key control apparatus according to claim 1, wherein the confirmation unit confirms a certificate authority of the electronic certificate based on a verification result of the electronic signature received by the reception unit using the shared key. 前記認証局の証明書を保存する証明書保存手段
を更に備え、
前記確認手段は、前記受信手段で受信した電子証明書に記載される発行元の認証局と、前記証明書保存手段で保存される証明書の認証局とが同じであるかにより、前記電子証明書の認証局の確認を行う請求項1に記載の秘密鍵制御装置。 Certificate storage means for storing the certificate authority certificate;
The confirmation unit determines whether the certificate authority of the issuer described in the electronic certificate received by the reception unit and the certificate authority of the certificate stored by the certificate storage unit are the same. The secret key control device according to claim 1, wherein the secret key control device confirms the certificate authority of the certificate. 前記鍵保存手段は、前記認証局から送信された秘密鍵を受信して保存する請求項1乃至4のいずれかに記載の秘密鍵制御装置。   The secret key control apparatus according to claim 1, wherein the key storage unit receives and stores a secret key transmitted from the certificate authority. データの暗号化に使用される暗号鍵を生成する生成手段と、
前記生成手段で生成した暗号鍵を前記認証局に送信する暗号鍵送信手段
とを更に備え、
前記鍵保存手段は、前記認証局から前記暗号鍵送信手段で送信した暗号鍵で暗号化された暗号データを受信し、前記生成手段で生成した暗号鍵で当該暗号データを復号することにより秘密鍵を得、当該秘密鍵を保存する請求項5に記載の秘密鍵制御装置。 Generating means for generating an encryption key used for data encryption;
Further comprising: an encryption key transmitting means for transmitting the encryption key generated by the generating means to the certificate authority,
The key storage means receives encrypted data encrypted with the encryption key transmitted by the encryption key transmission means from the certificate authority, and decrypts the encrypted data with the encryption key generated by the generation means, thereby secret key The secret key control apparatus according to claim 5, wherein the secret key is stored. 秘密鍵と当該秘密鍵に対応する公開鍵とを生成する生成手段と、
前記生成手段で生成した公開鍵を前記認証局に送信する公開鍵送信手段
とを更に備え、
前記受信手段は、前記公開鍵送信手段で送信された公開鍵を含む電子証明書を前記認証局から受信し、
前記鍵保存手段は、前記生成手段で生成された秘密鍵を保存する請求項1乃至4のいずれかに記載の秘密鍵制御装置。 Generating means for generating a secret key and a public key corresponding to the secret key;
A public key transmitting means for transmitting the public key generated by the generating means to the certificate authority,
The receiving unit receives an electronic certificate including the public key transmitted by the public key transmitting unit from the certificate authority;
The secret key control apparatus according to claim 1, wherein the key storage unit stores the secret key generated by the generation unit. 電子証明書を発行する認証局と、
前記電子証明書を受信する秘密鍵制御装置と
を具備し、
前記秘密鍵制御装置は、
電子証明書を認証局より受信する受信手段と、
前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、
前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、
前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、
前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、
前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、
前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段と
を備える秘密鍵制御システム。 A certificate authority that issues electronic certificates;
A secret key control device for receiving the electronic certificate,
The secret key control device
Receiving means for receiving an electronic certificate from a certificate authority;
Confirmation means for confirming whether the electronic certificate received by the receiving means is issued by a predetermined certificate authority;
Electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means;
Key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means;
Accepting means for accepting a predetermined processing request using the secret key;
Verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means;
When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. A secret key control system comprising: a permission means. コンピュータを
電子証明書を認証局より受信する受信手段と、
前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、
前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、
前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、
前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、
前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、
前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段
として機能させる秘密鍵制御プログラム。 Receiving means for receiving an electronic certificate from a certificate authority;
Confirmation means for confirming whether the electronic certificate received by the receiving means is issued by a predetermined certificate authority;
Electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means;
Key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means;
Accepting means for accepting a predetermined processing request using the secret key;
Verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means;
When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. A secret key control program that functions as an authorization means.
JP2007135572A 2007-05-22 2007-05-22 Secret key controller, secret key control system, and secret key control program Pending JP2008294552A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007135572A JP2008294552A (en) 2007-05-22 2007-05-22 Secret key controller, secret key control system, and secret key control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007135572A JP2008294552A (en) 2007-05-22 2007-05-22 Secret key controller, secret key control system, and secret key control program

Publications (1)

Publication Number Publication Date
JP2008294552A true JP2008294552A (en) 2008-12-04

Family

ID=40168868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007135572A Pending JP2008294552A (en) 2007-05-22 2007-05-22 Secret key controller, secret key control system, and secret key control program

Country Status (1)

Country Link
JP (1) JP2008294552A (en)

Similar Documents

Publication Publication Date Title
KR101863953B1 (en) System and method for providing electronic signature service
JP4638990B2 (en) Secure distribution and protection of cryptographic key information
CN101212293B (en) Identity authentication method and system
CN109076090B (en) Updating biometric data templates
EP1379930B1 (en) Security method for transferring shared keys
MXPA06010776A (en) Authentication between device and portable storage.
CN102217277A (en) Method and system for token-based authentication
CN101770619A (en) Multiple-factor authentication method for online payment and authentication system
JP2011082662A (en) Communication device, and method and program for processing information
WO2021111824A1 (en) Electronic signature system and tamper-proof device
JP2009212731A (en) Card issuing system, card issuing server, and card issuing method, and program
GB2378871A (en) Printer regulation through public-key encryption and verification of a user
KR20000006633A (en) Private Key, Certificate Administration System and Method Thereof
KR101062624B1 (en) IC tag system
EP3455763B1 (en) Digital rights management for anonymous digital content sharing
CN107409043B (en) Distributed processing of products based on centrally encrypted stored data
JPH10336172A (en) Managing method of public key for electronic authentication
JP2006221566A (en) Caring service support system using network
JP2009033402A (en) Id based cryptographic system, transmission terminal device, distribution server device, and reception terminal device
JP2008234143A (en) Subject limited mail opening system using biometrics, method therefor, and program therefor
KR101933090B1 (en) System and method for providing electronic signature service
US20240129139A1 (en) User authentication using two independent security elements
JP2004140636A (en) System, server, and program for sign entrustment of electronic document
JP2010028689A (en) Server, method, and program for providing open parameter, apparatus, method, and program for performing encoding process, and apparatus, method, and program for executing signature process
KR100625635B1 (en) Document Security System and Method therefor, and Recording Medium Recording a Program Carring Out The Method